Non usi asp vero? Con asp potresti "autorizzare" la visione dell'iframe solo se contenuto nella pagina principale...
Nella pagina principale imposti una sessione utente es:
<% session("User") = REQUEST.ServerVariables("REMOTE_ADDR") 'IP UTENTE... O QUALSIASI ALTRA COSA %>

Poi nella pagina con l'iframe metti
<% if session("User") = "" then
response.redirect("paginapricipale.asp")
end if %>

La session può essere "User" ma anche "Pippo"...

ciao