Karen989898, вы можете использовать заголовок
Content-Security-Policy, чтобы указать, что загрузка скриптов и прочего должна происходить только с конкретного сервера, содержащего доверенный код или прочие ресурсы или не происходить вообще.
Также вам наверняка будет интересно узнать, что у элемента <iframe> есть атрибут
sandbox.