如何检查嵌入了 JavaScript 徽章的网站？

Question

我希望允许用户使用一段 JavaScript 代码将徽章嵌入到他们的个人网站或博客中。该徽章是根据他们的个人资料中的信息在我们的网站上定制的，这些信息在某些时候是“批准的”。

是否有最佳实践来检查 javascript 嵌入在哪个网站上，如果它与“已批准”配置文件中的网站不匹配，则不显示任何内容。如果匹配则注入 html 等。

谢谢

Answer 1

我立即想到两种方法：

1. 配置您的服务器以记录所有 javascript 请求的“Referer”标头 甚至根据批准的 URL 列表进行检查，并返回错误代码 （403 Forbidden 看起来像赢家）。

2. 让 Javascript“打电话回家”——报告它在哪里——就像这样：

   var etCallHome = new Image();
   etCallHome = "http://yoursite.com/logger?url="+document.location.href;
   

您也可以将这两种方法结合起来以获得好运。:-)

Answer 2

您可以用检查顶部网址：

var topUrl = top.location.href;