caso a) fai un controllo sulle stringe eseguibili, ovvero quelle possibili
caso b) apri un popup a tutto schermo senza la possibilità di modificare l'indirizzo (ma non è molto sicuro...dovresti fare dopo un controllo da $HTTP_REFERER e vedere se è uguale al tuo sito)