Уже давольно давно браузеры поддерживают директиву X-Frame-Options SAMEORIGIN, которая запрещает открывать ресурс во фрейме. Гмайл её ессно использует(и не он один). Её поддерживает IE начиная с восьмого, остальные браузеры еще раньше её начали поддерживать.
единственное неудобство необходимость расшаривать док - чтобы гугл его удаленно получил, но имхо это можно решить созданием одноразовой временной ссылки на открываемый док
то что нужно, и куча форматов поддерживается и все просто и понятно, а то уже и не знал что делать - и просмотр документов нужен и если самому делать поддержку кучи форматов - то можно 50 лет все это делать
А по доступу - сделал так - юзер вошел - запомнился его ip, нажал кнопку “просмотреть документ” - сформировалась ссылка, доступна в течение часа и только с этого ip (передается в $_SERVER[‘HTTP_X_FORWARDED_FOR’]).
Правда здесь есть один момент. Если провайдер выделяет всем один адрес - то не наю что тогда делать (а такое бывает, сталкивался).
Может есть еще какие мысли по поводу секьюрности, подскажите, плиз
льем меппинг (путь на сервере <-> тмп ссылка) в базу. каждая ссылка имеет срок жизни (также можно убивать при логоффе)
после отработки скрипта формирования тмп-ссылки идем редиректом на гуглвьювер с оной
поймать док (ссылку) могут только на шаге 3 к.н. снифером, но это можно решить переведя последовательность на https или поставив счетчик загрузок (при отдаче файла 1 раз меппинг убивается)