如何防止自己的网页被别人iframe嵌入

happyxp · 发表于 2020-11-16 17:30:36

前面说了如何阻止 iframe里引用的网页自动跳转，已达到iframe页面的目的。
这次讲一下如何防止自己的网页被别人iframe。

1、这些方法都可行，但不是太可靠。

<script language="javascript">* r- C% w$ O: w' `" W3 p( H, H" J( U: z
if( top.location != self.location) top.location.href=self.location.href;9 H+ Y# P& g& q1 j# N1 d* ?6 F$ ^% k
</script>

复制代码

或

<script language="javascript">$ A7 c, j$ F- P! H
if (top.location != location) top.location.href = location.href;
4 G/ o* l) U* J3 I/ G0 x
</script>

复制代码

或

<script language="javascript">
7 M% v: V% [1 W7 L6 i
if (top.location != self.location) {top.location=self.location;}
) o) o) O' @( W5 ]6 ?, a3 S
</script>

复制代码

或

<script language="javascript">
" b) A& L7 U8 {/ E$ o7 ?0 J- J4 W
if (top.frames.length!=0) top.location=self.document.location;2 O' l ?% R2 q o! c
</script>

复制代码

不可靠的原因：
当别人用如下类似代码做IFRAME嵌套调用时，就可能躲过你的页面的javascript代码。

<iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
, R# \5 B8 P" p
<script language="javascript"> S) ]" K! K) l' c# v: Z+ Q6 S
var location="";
- J5 y+ c. U) a; z% D- h
var navigate="";
1 g: u# N% R" X3 p, S. w
frames[0].location.href="";
, {( }$ Z& |7 ?1 D w$ [
</script>

复制代码

或

<iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">

复制代码

或

<script type="text/javascript" charset="utf-8">
& p: w5 N! u* f) d
document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');2 g1 K6 U$ n6 h2 U1 H% ^
</script>

复制代码

2、代码层次的屏蔽，方法可行，但不是很人性化。
Meta标签方法

<meta http-equiv="X-FRAME-OPTIONS" content="DENY">

复制代码

PHP方法

<?php header('X-Frame-Options:Deny'); ?>

复制代码

Apache主机方法

Header always append X-Frame-Options SAMEORIGIN

复制代码

Nginx主机方法

add_header X-Frame-Options "SAMEORIGIN";

复制代码

.htaccess方法
在网站根目录下的.htaccess文件中中加一句

Header append X-FRAME-OPTIONS "SAMEORIGIN"

复制代码

IIS方法
在web.config文件中加

<system.webServer>& e3 H- u1 B" t
...; W! ?3 b' U! `0 N( d2 C3 r5 v
<httpProtocol>
& n8 H+ \" \, K' X, g
<customHeaders>( O8 `5 C2 X) c; B
<add name="X-Frame-Options" value="SAMEORIGIN" /> }3 m4 t( B0 Y% t# E N9 s
</customHeaders>
) c4 a6 d) {/ Y
</httpProtocol> 8 J8 V. p5 K7 l' O, v1 [
..." \1 p. H* A4 G+ S6 B$ ~7 C
</system.webServer>

复制代码

之所以说不人性化，是因为这样操作之后，别人iframe会显示服务器拒绝之类的信息，虽然是屏蔽了，但是自己网站也不能宣传了。

3、推荐解决方法。

<script language="javascript">
# ]1 ]0 |; Y2 b3 V$ f0 v
if(top != self){
. j) y% ~; l n) E) H
location.href = "http://xp6.org/iframe.html";
- w/ y3 [/ f `# A7 D* a+ y; k
top.location.href=self.location.href;
" L8 u" B W0 p+ F& b
}
! K9 b" s3 i: @9 ^, i
</script>

复制代码

将上面的代码复制到需要屏蔽页面<head>里面加载。
制作一个iframe.html页面里面放张网站宣传图片，加个链接，放到网站根目录。
原理：
第一步直接强制访问咱自己设定的iframe.html页面，如果网站禁用了JS跳转，那么执行到这一步就结束了，这样即使他们iframe了咱的网站，看到的只是咱的图片宣传页。
第二步，如果没有禁用JS，那么会接着执行top.location.href=self.location.href; ，然后跳转到我们的网址页面。
目前测试这种方法没什么问题。

[网站] 如何防止自己的网页被别人iframe嵌入