javar Nov 21 2022 at 12:18

Перевезу в iframe. Дешево

9 min

7.5K

CSS*JavaScript*HTML*

Tutorial

+13

Comments 7

pae174 Nov 21 2022 at 14:00

Невозможно по HTTP-запросу понять, посылается ли он изнутри iframe или родительским окном, нет никаких специальных заголовком, браузер никак на это не указывает.

У вас слегка устаревшая информация. Браузеры очень даже указывают, но не все.

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Sec-Fetch-Dest

https://caniuse.com/?search=SEC-FETCH-DEST

javar Nov 21 2022 at 16:09

Да, спасибо большое, что упомянули Fetch-Metadata, это важное пояснение!

Я бы не стал завязываться на него в коде приложения, все таки его роль совсем другая, но важно знать, что он есть! Поправил в тексте статьи, спасибо!

Давайте я еще вот эту статью приложу, тут, мне кажется, лучше всего разъясняется специфика: https://web.dev/fetch-metadata/

tolik_anabolik Nov 22 2022 at 00:51

Не совсем понятен мотив использовать iframe для интеграции своего сервиса с партнерами. Не проще ли точно также добавлять партнерам ваш скрипт виджета и инициализировать виджет с указанием контейнера?

javar Nov 22 2022 at 00:52

Не понял схему, а технически как должен быть устроен виджет? Что он из себя представляет?

tolik_anabolik Nov 22 2022 at 13:03

У партнера подключаем скрипт виджета widget.js, инициализируем виджет, передавая селектор контейнера на странице партнера, ключ партнера для доступа к нашему апи:

<div id="widget_place"></div>
...
<script src="https://our.service.org/v1/widget.js" nonce="..."></script>
<script type="module">
const app = new Widget({
  apiKey:    '...',
  container: '#widget_place',
});
app.init();
</script>

На стороне своего сервиса конечно же настраиваем cors и делаем проверку ключа доступа. Таким образом мы явно ограничиваем круг партнеров, можем управлять доступом и отзывать доступ у тех, кто нарушил наши правила использования.

javar Nov 22 2022 at 13:28

Тут на сколько я понял Widget - это полноценное js-приложение, которое выполняется на стороне партнёра. Это вполне возможное решение, там есть свои ограничения, но это работает во многих кейсах. Именно так встраиваются картографические сервисы, например.

Мне этот подход не подходил так как я не хотел писать отдельное приложение для партнёров, я хотел просто научить текущее встраиваться. И тут уже кроме iframe вариантов особых нет.

kacetal Nov 28 2022 at 00:34

Не совсем понятно, а как защищать секретный ключ к апи? Который на фронте будет.