|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。
+ S, w' r# Y! Q$ k这次讲一下如何防止自己的网页被别人iframe。5 Q$ x' K) d; e* q
, y4 C2 Z$ V0 _2 S# ?4 f2 [; r1、这些方法都可行,但不是太可靠。
# V! f3 w9 J4 u: t& |- <script language="javascript">
2 H* c; g1 d* b$ [ - if( top.location != self.location) top.location.href=self.location.href;$ Q4 E% d) u! H2 U# ]. g) a" C
- </script>
2 S# V0 d, Z9 U: b$ q7 `3 ^- <script language="javascript">" N2 o6 R m1 f
- if (top.location != location) top.location.href = location.href;
3 o. N3 D0 t. f. K5 p6 t. ^) ^ - </script>
- <script language="javascript">) K$ C+ k; M8 h% p, X' _; o
- if (top.location != self.location) {top.location=self.location;}; l( x, p: }6 k" B: _9 b: {3 N( v
- </script>
- <script language="javascript">- Y' y3 E- z& {- G; G9 [# y
- if (top.frames.length!=0) top.location=self.document.location;
, q- C+ C8 Y4 ]8 V7 B1 ~ - </script>
当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。
/ K0 P* Z- M& T2 ^ W% O2 F/ H& ]- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>' @4 y2 \ }2 X6 U; \% O
- <script language="javascript"> 6 p- L# h. N. V* I
- var location="";7 g3 S# k5 y1 ~% j
- var navigate="";9 |' l, u v8 u
- frames[0].location.href="";( E' e. W# Q1 e& t" f! a7 f
- </script>
4 X0 U, O; H' C9 m' ? `6 X7 m1 Y$ ?% U- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
5 V' n1 q# H+ M( Z. c
- <script type="text/javascript" charset="utf-8">
* E/ F. u, r$ K: l4 T5 T - document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');
- q9 R' Y, D: U, \* S5 o" ~. s- W - </script>
Meta标签方法
- R/ k6 C- \, A4 w6 A- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
- <?php header('X-Frame-Options:Deny'); ?>
8 Y5 N4 L8 c6 |- }$ ?; H- Header always append X-Frame-Options SAMEORIGIN
- add_header X-Frame-Options "SAMEORIGIN";
.htaccess方法; S- a! ^; @: O+ B6 O* e( c
在网站根目录下的.htaccess文件中中加一句
! Z7 S1 @+ C# n- Header append X-FRAME-OPTIONS "SAMEORIGIN"
IIS方法
2 L3 _8 ?2 F c8 ~# g D4 [在web.config文件中加- <system.webServer>% t5 X# H( C6 [9 O/ }. ~
- ...
9 f; n8 F& E6 i6 J4 Y$ w - <httpProtocol>
" z3 [3 ]+ ?; L1 t; } - <customHeaders>
% m. B" `/ l/ d8 a& g: d - <add name="X-Frame-Options" value="SAMEORIGIN" />
5 H# O* U$ F U& e# @8 i: } - </customHeaders> 9 h# J6 B' o- M6 h2 u' |% [
- </httpProtocol>
' R1 _/ _& R3 i! v2 R# L" Z4 u - ...5 k7 X3 @! ^9 d' d) P3 I. B8 ?6 G d+ T) }
- </system.webServer>
( B9 T4 l+ c: e7 X1 P$ N之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。, K1 A6 P. c |2 h4 E: V0 c
# R$ d1 Z0 [ j$ r2 k5 o3、推荐解决方法。6 k- l9 W3 n- y
- <script language="javascript"> 9 i" b$ C& P2 o `; ~4 |, W
- if(top != self){4 Q1 M$ M, p3 X$ @8 y5 Q% F
- location.href = "http://xp6.org/iframe.html";
( v- C1 Y! Z9 e/ X! A. S- B V - top.location.href=self.location.href;* e O# `8 F8 q7 h) m3 l/ E' H( U& q9 x
- }
) ~; w$ y+ k1 ?7 o% k - </script>
- b" [$ S) P' u6 F将上面的代码复制到需要屏蔽页面<head>里面加载。; Z0 O1 ^ x# p: u; |
制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
2 [( |3 l+ N8 \原理:$ |9 h. P# a* r+ c* N* P
第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。% Y5 j4 n t0 r- D
第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。2 y1 y7 K) G) ?' z3 u
目前测试这种方法没什么问题。 E. x+ ` @/ E& I n; S; T
# g% X' u$ j" J" \1 h8 U
|
|
发表于 2020-11-16 17:30:36
千斤顶
显身卡
鲁公网安备 37021102000261号