|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。- b$ @4 i4 n$ s) L* d4 t9 h
这次讲一下如何防止自己的网页被别人iframe。
0 @( o% D& G# R6 P( _! o3 k; k# p" P% G3 p5 y. F
1、这些方法都可行,但不是太可靠。
4 P9 M5 F; w/ k3 Z5 J# _ f- <script language="javascript">, I% W, x1 d$ @/ I9 Q& \2 B+ d8 U
- if( top.location != self.location) top.location.href=self.location.href;
! ?9 p( C9 K" W& Y! J - </script>
- <script language="javascript">
1 D; |% q/ a: x3 j, X - if (top.location != location) top.location.href = location.href;9 X) m( T1 k9 Y3 B# _% Q0 R2 l
- </script>
% H4 f' Q& L* Q; H6 W& K* s7 E* t- <script language="javascript">! Q) r3 U! G/ `9 n s7 N' J
- if (top.location != self.location) {top.location=self.location;}: G1 w O1 n- j8 ^/ m9 N* Y
- </script>
- <script language="javascript">8 h! I1 c2 F. M4 _6 a1 K
- if (top.frames.length!=0) top.location=self.document.location;
! d( I; M2 O" d4 b8 L4 F - </script>
当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。
, x7 m4 |! i! d: u- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>1 t( z; _8 e6 a6 ?6 Y3 l5 o7 V2 n
- <script language="javascript"> / Q9 {) r( L0 w7 l- s: @" A8 T
- var location="";
Q/ x4 o) H# e- h; U - var navigate="";
7 B$ x/ X/ ?" y# o/ t3 g; R - frames[0].location.href="";
2 c2 r& ?5 j6 Z/ D9 }1 R& r - </script>
: P f- k# z: ~5 _6 a- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
0 `$ t2 d. z8 k. m- <script type="text/javascript" charset="utf-8">$ _9 r9 D9 Q6 h& l, n
- document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');
8 x. C0 ]" e! Y. G - </script>
Meta标签方法
6 E& F* s: j( m( A1 p8 v# g- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
- <?php header('X-Frame-Options:Deny'); ?>
- Header always append X-Frame-Options SAMEORIGIN
- add_header X-Frame-Options "SAMEORIGIN";
' E7 D: X0 R) m# ?. n.htaccess方法. W4 |. N& Q% W
在网站根目录下的.htaccess文件中中加一句+ e* w! w' e- ~+ j8 v( V8 X/ P$ B
- Header append X-FRAME-OPTIONS "SAMEORIGIN"
IIS方法. {1 Y, i ^ R% Y* a
在web.config文件中加- <system.webServer>
: n! W; J( D2 U7 a3 o, p; b: K - ...' J$ y/ M9 O2 D {, a& Z4 c
- <httpProtocol>, k' U3 ]/ y7 O$ P9 ^: E3 N
- <customHeaders>( C# n2 q+ @+ c
- <add name="X-Frame-Options" value="SAMEORIGIN" /> 6 ?4 ^% V, d9 q
- </customHeaders>
/ ?' {8 e" {. p5 z( c0 p" r - </httpProtocol> * [8 b- I' A% E* P8 w: |% i W
- ...
E1 I3 b, R& D4 Z9 l \9 k - </system.webServer>
之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。3 o9 n$ a: |. b" b+ @$ {
" c2 T m4 G( B& \; r
3、推荐解决方法。
3 ~0 d+ }, P; @' P- <script language="javascript"> - l; h& D5 A' g) F$ S9 @
- if(top != self){
, L; U, |" ?' w. T& O8 | - location.href = "http://xp6.org/iframe.html"; + v1 |$ }2 O4 o* o% q0 n) r7 \5 G
- top.location.href=self.location.href;
- z) k# D" a+ ^/ ?( o - }
! ~" l5 x- r O. d7 ^# i - </script>
将上面的代码复制到需要屏蔽页面<head>里面加载。4 p0 I5 m; c4 t
制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
5 H% p8 K: o5 S0 L原理:
- b, z* q) X" z6 }第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。0 I5 X) _9 [2 Q4 D) _4 N
第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。& c# u* k7 c8 O8 U" I- d
目前测试这种方法没什么问题。
' Z) F! m! J7 _( l$ V8 T
* g1 x, K, s# @7 ]. |. @" | |
|
发表于 2020-11-16 17:30:36
千斤顶
显身卡
鲁公网安备 37021102000261号