Include und/oder IFrame verbieten

[Ec16]

Hallo,

habe mal eine kurze Frage.

Und zwar bin ich immer noch auf der Suche nach einer Lösung für mein Problem.
Ich habe bei mir eine Seite: http://www.domain.de/ordner1/user1/index.php
Jetzt möchte ich es so machen das diese Seite index.php z.B. nur auf der Homepage http://www.test.de/ordner1/test.php include oder per IFrame eingebunden werden darf. Auf allen anderen Seite (auch außerhalb des Servers) soll man diese index.php nicht einbinden dürfen per Include, IFrame, ... oder per Direkt Aufruf.

Ach so, die Domain http://www.test.de liegt nicht auf meinem Server sondern wo anders.

Jetzt suche ich schon die ganze Zeit und habe noch keine Lösung gefunden.
Ich hoffe mir kann hier wieder jemand weiterhelfen.

Vielleicht geht es ja mit .htaccess

So halt nur umgedreht: http://www.seobasis.de/htaccess-befehle/#a18

 

[alxy]

Ne, wenn es auch per iframe aufrufbar sein soll, kannst du es nicht schützen!
Über include geht das natürlich.

Du könntest das Verzeichnis mit diesen dateien oder spezielle dateien via .htaccess schützen oder in der datei selber via PHP überprüfen, wie es aufgerufen wird. (zB testen, ob eine bestimmte Variable gesetzt ist usw).

 

[mike-pretzlaw]

Schau mal was in $_SERVER mitgegeben wird.
Vielleicht sogar $_SERVER['HTTP_REFERER'].

Das wäre ein Ansatz um zu schauen ob es automatisch schützbar ist.
Ansonsten schreibst eine Authentifizierungsmethode, dann können es nur autorisierte Personen / Seiten einbinden.

 

[threadi]

HTTP-Referrer kann man allerdings fälschen - ist keine sichere Methode. include() wäre das Sicherste.

 

[mike-pretzlaw]

Genau, gefälscht werden kann alles. Include über zwei Server hinweg ist genauso gefährlich.
Die meisten haben solche includes per allow_url_fopen abgesichert und vor einem Man-In-The-Middle-Attack ist auch keiner geschützt. Herje, wie unsicher das Netz ist ;D

Das Problem beginnt hier schon im Design / der Architektur.
Eine REST-API mit OAuth und SSL wäre die (etwas überladene) Lösung.