session'a iframe ile de deger atanir ve bu sekilde koruma saglanmis olmaz, sonucta client bilgileri iframe ilede gonderiliyor. Referer kontrolu ile istedigin bir sayfanin baska bir adreste gorunmesini engelleyebilirsin.
or;

if (!strpos($_SERVER['HTTP_REFERER'], 'http://www.domainadresin.com'))
{
    exit('illegal erisim !');
}
// kodlar..

yukaridaki kod www .domainadresin. com dan haric hic bir adreste calismayacaktir.