iframe srcの変更をinspect要素でブロックしますか？

Question

は、要素を検査して、Webページに<iframe> src valueを変更することで、新たなデータの取り込みを防ぐ方法を知りたいですか？

ウェブページでは、ビデオを表示しています（<iframe> element）。動画は購入後に利用できるようになります。すべての動画はそれだけで私たちのドメインを介して利用できるようになります、というVimeoに格納され、Vimeoの設定を使用して、このような方法で構成されています。

問題は ユーザーがビデオを購入すると、srcの値にアクセスして他のユーザーと共有できるようになります。そして、そのURLはちょうど私たちのウェブサイトに行くことができます検査要素と変更src値のいずれか<iframe> elementのWebページで、ビデオは購入せずにロードされます。これを防ぐためにどのように

？ にページを読み込んだ後にコンテンツを読み込まないようにする方法はありますか？また、ユーザーがhtmlを編集し、<iframe> elementにURLを付けることができれば。 これは有料の動画をウェブページに実装する正しい方法ではありませんか？

私は完全にこの時点で立ち往生しています。 あなたのご意見をお寄せいただきありがとうございます。

更新：

• は、私は、このオプションは、Googleドライブを使用することはできますか？ google drive apiを使用すると、各ユーザーアカウントに動的にアクセスできます。

Answer 1

これを防ぐことはできません。私はVimeoがあなたがビデオIDをチェックすることができるクロスウィンドウメッセージングを介してAPIを持っていない限り、クロスオリジンのセキュリティのために外部からの変更を検出することすらできないと確信しています - この場合、そのページがフレーム内のビデオIDを定期的に確認するようにします。

しかし、それでもやや高度な「ハッカー」の場合は、これはまったく問題にはなりません。一つは、ただでさえHTMLファイルには、希望のIFrameを含むと... 127.0.0.1それとも、NoScriptの拡張子を使用して無効にするには、あなたのドメインを指すhostsファイル内のエントリを設定し、サーバのローカルWebサーバを作成することによって、このシステム全体を打ち負かすことができあなたのビデオIDをチェックしているものは何でも。

一番下の行は、VimeoのURLをエーテルに送信すると、あなたはそれを制御できなくなりました。 Vimeoの代わりに自分のサーバーからビデオをストリーミングする以外に何もできることはありません.Vimeoでは独自のアクセス制御システムを実装できます。コンテンツに正当なアクセス権があることを確認した後、この特定のユーザーと時間にのみ有効なワンタイムトークンを作成します。

Answer 2

あなたの問題は、サードパーティのホストを取り、存在しない認証を作成しようとしているです。

常時動作していませんが、urlが予期しない値に変更された場合、ページが許可されていないページにリダイレクトされる可能性があるsetIntervalタイマーを1秒間に数回試行できます。あなたは私はjavascriptを通じiframe要素をロードする最初に推薦するこのルートを行く場合は、ユーザーがJavaScriptを無効にした場合、あなたは、少なくともビデオを埋め込むことができない場合

、彼らは単にカントは、任意の動画

window.setInterval(function(){ 
    var frame = document.getElementById("frame"); 
    if(frame.src !== expectedSource){ 
     window.location.href = "unauthorized.html" // or something like that 
    } 
}, 300); 

// load iframe 
window.onload = function(){ 
    var frame = document.createElement("iframe"); 
    document.body.insertBefore(frame, container); // container implies an existin DOM element 
    frame.src = expectedSource; // you will need some way to get the expected source and load it 
}