如何防止自己的网页被别人iframe嵌入

happyxp · 发表于 2020-11-16 17:30:36

前面说了如何阻止 iframe里引用的网页自动跳转，已达到iframe页面的目的。
这次讲一下如何防止自己的网页被别人iframe。

1、这些方法都可行，但不是太可靠。

<script language="javascript">
7 D+ V" o1 `- M1 A, p
if( top.location != self.location) top.location.href=self.location.href;
G0 p- X" V: \8 k) c7 w: N1 M
</script>

复制代码

或

<script language="javascript">
( Y- `! d- Y2 b
if (top.location != location) top.location.href = location.href;6 R0 z* ~4 s' t# G1 R6 g
</script>

复制代码

或

<script language="javascript">- l5 g3 b9 C8 A* J# ]/ {: g
if (top.location != self.location) {top.location=self.location;}: W/ ?! h+ N( P6 K1 ]5 v
</script>

复制代码

或

<script language="javascript">
2 ]4 N* g0 \. {9 {; a
if (top.frames.length!=0) top.location=self.document.location;
" N! D) ]* x7 S" Z* [8 f; ~9 ^
</script>

复制代码

不可靠的原因：
当别人用如下类似代码做IFRAME嵌套调用时，就可能躲过你的页面的javascript代码。

<iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
) {9 u7 I: N2 \/ L+ b
<script language="javascript">
* u1 e" y# I. M8 f: {6 `
var location=""; _ |8 L( K8 p3 b" |- a; r
var navigate="";
/ G) ^. L s, p1 H, \" ^: {
frames[0].location.href="";
; s" X% u: g' e7 d
</script>

复制代码

或

<iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">

复制代码

或

<script type="text/javascript" charset="utf-8">) V S, J) {% j# J" z/ u8 A- @
document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');
2 e/ n; C# H3 c2 j6 [4 X# Z
</script>

复制代码

2、代码层次的屏蔽，方法可行，但不是很人性化。
Meta标签方法

<meta http-equiv="X-FRAME-OPTIONS" content="DENY">

复制代码

PHP方法

<?php header('X-Frame-Options:Deny'); ?>

复制代码

Apache主机方法

Header always append X-Frame-Options SAMEORIGIN

复制代码

Nginx主机方法

add_header X-Frame-Options "SAMEORIGIN";

复制代码

.htaccess方法
在网站根目录下的.htaccess文件中中加一句

Header append X-FRAME-OPTIONS "SAMEORIGIN"

复制代码

IIS方法
在web.config文件中加

<system.webServer>7 }( O/ L d' I" y: F/ D
...
3 |( g! `( u( C+ I! _
<httpProtocol>
# [9 d v1 V4 U3 o2 A+ @6 g0 c
<customHeaders>
9 {3 F/ \& i7 P* `* E# a
<add name="X-Frame-Options" value="SAMEORIGIN" />
, D& _4 H6 H: x* u1 g0 J% E
</customHeaders>
) M: Q9 r/ w( u# e$ [3 [) o+ ^0 b6 Y
</httpProtocol>
! B( A ^& D B
...* H& _7 B& R }4 [
</system.webServer>

复制代码

之所以说不人性化，是因为这样操作之后，别人iframe会显示服务器拒绝之类的信息，虽然是屏蔽了，但是自己网站也不能宣传了。

3、推荐解决方法。

<script language="javascript">
4 |2 o5 J* c! |7 j& y3 {2 H
if(top != self){9 ]5 d" v- M* N! J8 ]. r5 ~1 z G9 ?
location.href = "http://xp6.org/iframe.html"; , I2 h- l, D" j3 C! N! |
top.location.href=self.location.href;
: c/ \0 N2 \/ G. t0 H& g/ J5 }( z/ K
} 6 j* l1 ]9 f6 k6 ~# [: V
</script>

复制代码

将上面的代码复制到需要屏蔽页面<head>里面加载。
制作一个iframe.html页面里面放张网站宣传图片，加个链接，放到网站根目录。
原理：
第一步直接强制访问咱自己设定的iframe.html页面，如果网站禁用了JS跳转，那么执行到这一步就结束了，这样即使他们iframe了咱的网站，看到的只是咱的图片宣传页。
第二步，如果没有禁用JS，那么会接着执行top.location.href=self.location.href; ，然后跳转到我们的网址页面。
目前测试这种方法没什么问题。

[网站] 如何防止自己的网页被别人iframe嵌入