|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。
2 f6 c; A/ v( ?) V0 l. A# g这次讲一下如何防止自己的网页被别人iframe。
6 `$ I0 N# ]1 q) z' }. N: ?/ C* }% z- \, N8 z) E% q
1、这些方法都可行,但不是太可靠。8 m5 f- w! C; o) _
- <script language="javascript">* o8 g3 [* k; l! N6 P7 c4 d$ G
- if( top.location != self.location) top.location.href=self.location.href;
. Y% O8 C1 |; L& q( P! ~7 m - </script>
复制代码 或
5 k: T; ~; z+ V: ^- f- <script language="javascript">* {7 K9 n, _! U. j& L) _! @! |7 @
- if (top.location != location) top.location.href = location.href;6 J1 w2 i' B6 n6 x+ d5 |& V0 p
- </script>
复制代码 或" e+ K, D& B5 }) u
- <script language="javascript">6 x6 ~9 [$ |( `9 y8 _% \, K4 ^
- if (top.location != self.location) {top.location=self.location;}
7 V& J2 R+ b9 U/ U - </script>
复制代码 或 H* A, C" ^% {3 v
- <script language="javascript">
8 o }) [' T. ^" ` - if (top.frames.length!=0) top.location=self.document.location;: R% C* C6 E/ T; Y
- </script>
复制代码 不可靠的原因:4 S( q- R6 H: u4 s
当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。
. o$ N/ @5 Y) g( @6 x: R- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>5 L* s5 |: `& l4 ^7 B
- <script language="javascript"> ! n9 _) Y' A7 A+ y5 a
- var location="";6 W- f9 m3 ~1 A% D' E0 n8 l
- var navigate="";! z" f3 J" y# x! F& r2 ~
- frames[0].location.href="";$ c5 E, W3 W4 d; s/ j8 m1 A
- </script>
复制代码 或
7 v, L ]9 }% C9 x6 V3 ~! A- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
复制代码 或. A1 R4 Y; T O
% i$ X4 g+ ]2 j0 S
- <script type="text/javascript" charset="utf-8">+ x; N! N$ ?, a( o
- document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');' ?9 h& {% R/ ~7 C( \, T
- </script>
复制代码 2、代码层次的屏蔽,方法可行,但不是很人性化。
C b: b- X* L* H7 x( {Meta标签方法9 @/ h0 G5 ?2 s+ E! ~
- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
复制代码 PHP方法" Q! M( H# I5 d
- <?php header('X-Frame-Options:Deny'); ?>
复制代码 Apache主机方法/ x/ \) i: N: o' w0 u: e
- Header always append X-Frame-Options SAMEORIGIN
复制代码 Nginx主机方法# x7 k' w7 d) X
- add_header X-Frame-Options "SAMEORIGIN";
复制代码
9 n A+ t/ J9 t1 }0 U: L8 |6 }.htaccess方法
4 j5 e& j* S1 g/ B9 P, B3 s在网站根目录下的.htaccess文件中中加一句
6 y3 ?8 j$ n, B5 B- Header append X-FRAME-OPTIONS "SAMEORIGIN"
复制代码
- @5 ]3 J" M$ [1 rIIS方法
y, [; k" p3 |3 ~在web.config文件中加- <system.webServer>
r. c# V# \; g: W6 H9 A - ...
* ]! T- Q1 `2 }! E- S9 Y - <httpProtocol>9 J* D. f$ {: L, i) K
- <customHeaders>
$ T2 F( s: u+ B( x - <add name="X-Frame-Options" value="SAMEORIGIN" />
1 P5 K4 K" j& Q& C - </customHeaders>
( C, \% d" U7 ]0 y, O1 c; i - </httpProtocol>
' c' l/ B& s- ~& l- j9 U - ...
$ ]2 N* w T3 | p( e c& e2 V - </system.webServer>
复制代码
! B! {$ Y) N! s之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。
% r; U' r0 G2 U+ G/ B
& o3 w9 g* y' _1 s; F: G2 U3、推荐解决方法。
; f0 U. s M5 }: J O- <script language="javascript"> % x9 _5 W2 q- _
- if(top != self){
! {" U5 g# z' o" X9 \' E, g - location.href = "http://xp6.org/iframe.html"; 3 d' _9 O- \1 I L' R
- top.location.href=self.location.href;
" w7 g5 T4 _- s9 r - }
% i9 Z% j& x8 w' H3 t* q - </script>
复制代码 1 t; ]$ b$ `6 Q; ` _ M8 F
将上面的代码复制到需要屏蔽页面<head>里面加载。
; v4 p( _. |# t1 P2 Z制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
2 R% B1 C. ^( c6 D9 z原理:
4 p0 x+ b: v4 G9 r( ?+ H第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。
6 P" e' y0 e" W: X* {9 M1 O4 {第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。
) j6 ^! Z6 G9 j7 _目前测试这种方法没什么问题。$ y+ I p. @# `0 n4 y) \7 _7 c: n
( N- O3 Q; \! ]; l4 B6 A& f! ^1 Q |
|