|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。2 D& x1 S/ i; M* O1 B2 Y$ J
这次讲一下如何防止自己的网页被别人iframe。
; _) _% i4 O; G% t3 {+ Q" R" J7 D- q& e$ k" p8 B6 g( M3 Q, u/ y7 K
1、这些方法都可行,但不是太可靠。4 f% u# s" W/ W: u8 N+ W5 r# E
- <script language="javascript">
- l% A% ~, ^& R& n - if( top.location != self.location) top.location.href=self.location.href;- d. }: G6 d, k2 v
- </script>
复制代码 或7 S. J# O# R' f6 j& T, g
- <script language="javascript"># ^2 r4 \) q/ G- y8 {
- if (top.location != location) top.location.href = location.href;
. N0 U, x. i9 _1 e/ I8 ^) C - </script>
复制代码 或: u v8 `" C4 I. L; j2 U6 n
- <script language="javascript">- x& w6 Y% B* C9 b
- if (top.location != self.location) {top.location=self.location;}0 Y2 }8 s' [& R8 b6 Z N; c4 U4 I. x
- </script>
复制代码 或
0 e9 C9 t7 S5 i% l6 o1 v- Y- <script language="javascript">
0 r# h1 y% E- C+ W w - if (top.frames.length!=0) top.location=self.document.location;; G- G8 X' ^' M) S' e& A
- </script>
复制代码 不可靠的原因:
) D# N {- N' P; c当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。 \* \+ X+ d/ Y, c# S4 p
- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>* _5 v/ L4 {4 H. z
- <script language="javascript">
/ q* X) d3 w: o, U9 m7 Q - var location="";, p1 N8 c3 X N5 c( E$ t
- var navigate="";3 F& A! z3 {2 `% n8 |* H' S
- frames[0].location.href="";
3 w3 f' [) F" b$ \2 z- a - </script>
复制代码 或" ]' u6 x: F; J0 O8 r* B
- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
复制代码 或/ ] F0 A h# X
) M' q# D0 ]1 v% ]- <script type="text/javascript" charset="utf-8">0 `8 A' ^2 e# E# i. m5 N
- document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');6 y; r/ w$ q$ g/ B' G
- </script>
复制代码 2、代码层次的屏蔽,方法可行,但不是很人性化。' K7 y9 B$ o% h1 c9 f
Meta标签方法( s1 Z+ O1 K( Y( _
- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
复制代码 PHP方法
, `: X2 k, _9 _$ d! h R& ]- <?php header('X-Frame-Options:Deny'); ?>
复制代码 Apache主机方法8 o) d4 p" L, I* m( D
- Header always append X-Frame-Options SAMEORIGIN
复制代码 Nginx主机方法: c/ U% Y" f8 F" V2 H e6 y
- add_header X-Frame-Options "SAMEORIGIN";
复制代码 ! m* ?9 ?$ v/ _, Y' l F
.htaccess方法, G4 V }# J$ c& c2 V0 f" B f
在网站根目录下的.htaccess文件中中加一句
% N' ]0 g! O9 S2 R- Header append X-FRAME-OPTIONS "SAMEORIGIN"
复制代码 9 @$ X- {2 r5 H
IIS方法+ ?% P) k7 d5 F. y
在web.config文件中加- <system.webServer>% k0 u! Y% i* `
- ...
' S4 R) C# ~5 k+ ?! [* S# a2 I& K& [1 K2 G - <httpProtocol>
3 h6 Z" U8 G" |7 o - <customHeaders>
$ e+ M* v0 a! m5 p - <add name="X-Frame-Options" value="SAMEORIGIN" />
, y0 y/ F# o) O& N4 O - </customHeaders>
, N: @+ v- U) w - </httpProtocol> * ~, \2 B* E' ~. C) h- u3 i, s
- ...
+ e% U; p/ t' }6 P) j) J3 D - </system.webServer>
复制代码
5 S. _! e4 y b之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。3 u7 o! P4 X+ H1 p. I' A# s. B
7 G2 C& q% C' o5 [# |8 s
3、推荐解决方法。
( _6 \* I; g: C; J n- P- <script language="javascript"> & M0 c. j8 y$ M( d$ n" {' b
- if(top != self){
0 R0 j2 u9 v3 `" E, U+ \7 q9 ? - location.href = "http://xp6.org/iframe.html"; : \2 k. q/ O; {- O
- top.location.href=self.location.href;& O8 [$ j- @0 D( ^/ y" }# V3 R
- } ! U/ t$ r- O0 N% I& g
- </script>
复制代码
5 X5 P6 a p. ]5 h将上面的代码复制到需要屏蔽页面<head>里面加载。
5 [+ d) n$ @4 u V+ O( e8 s制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
! i' d* s/ d% o/ T原理:
# W. m' A9 `& ^& ^第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。
9 I6 b' Z2 f) \/ @% u% I6 H第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。, A }- F' ~6 }. _/ H( m& m
目前测试这种方法没什么问题。
: m6 y& H, C# {0 W
8 F; \# E+ K S0 S7 i0 d, z2 i |
|