|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。) _4 D4 B, I. |/ K7 Q
这次讲一下如何防止自己的网页被别人iframe。
+ F7 c5 ^+ z4 h7 L/ a& O8 @! F# x" V3 ^
1、这些方法都可行,但不是太可靠。2 F, d Q0 w4 l8 _* S- K* \
- <script language="javascript">! ^* U4 G: U" U& ]& i5 F& M5 e. O$ l
- if( top.location != self.location) top.location.href=self.location.href;) a. ~: h! Y! R4 r: I1 o
- </script>
复制代码 或
& B4 w8 M2 p: [) ]: e& y- <script language="javascript">
, J% |) h' H: {4 l' x4 \ - if (top.location != location) top.location.href = location.href;! K0 A u7 `/ w* k% C8 h6 o
- </script>
复制代码 或
- _/ J) U+ ^7 [! |' q- <script language="javascript">9 t6 Z% s; Q: y9 P: N
- if (top.location != self.location) {top.location=self.location;}
& p6 `8 r& S* X6 W - </script>
复制代码 或. }, X, E8 W* J+ {
- <script language="javascript">+ ~+ i# U+ f9 O* Z" `& C4 v
- if (top.frames.length!=0) top.location=self.document.location;
5 o& k! b n: i( a - </script>
复制代码 不可靠的原因:
- N. l) e# |, x当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。
% T, A2 K W- W9 y- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
# v" H0 d% Y0 |) l - <script language="javascript">
" H, I. p* A u4 a - var location="";
) h2 f7 A4 i3 s6 T( B3 D - var navigate="";4 q; U( @5 @5 K( L) V: ~* F
- frames[0].location.href="";
: {' Z1 `5 i5 O) A - </script>
复制代码 或
5 Z) p* l$ a% L" M0 Z- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
复制代码 或6 S' ^. ^6 z) k7 X
1 K% g" Z1 ~* ~2 s+ M0 K3 M! f: X2 V( Y- <script type="text/javascript" charset="utf-8">
* z) ]( B, u" w* s1 Q: V. e - document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');
' u0 h, a$ p' k) Y* e$ G - </script>
复制代码 2、代码层次的屏蔽,方法可行,但不是很人性化。
" U5 Z3 Q2 O7 R' {$ s- `, s; tMeta标签方法/ ^/ Y$ U; A+ X# U$ s; m1 w
- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
复制代码 PHP方法7 ?6 U6 a* ]- U" E( [
- <?php header('X-Frame-Options:Deny'); ?>
复制代码 Apache主机方法
0 r6 T G8 J" a- O4 J- Header always append X-Frame-Options SAMEORIGIN
复制代码 Nginx主机方法
& W. t( O7 @! ?) u4 a& l7 Y- add_header X-Frame-Options "SAMEORIGIN";
复制代码
$ ^" a C0 R. f! j0 E: @.htaccess方法
4 z& Q# @% u1 y0 K% H在网站根目录下的.htaccess文件中中加一句3 ?( `0 z$ p2 b7 I! L8 x( k
- Header append X-FRAME-OPTIONS "SAMEORIGIN"
复制代码
4 v5 j. z T; X" s" g" |IIS方法+ n1 n5 R4 e% L# N* u
在web.config文件中加- <system.webServer>
* H+ }2 G6 n: o3 V+ Y5 I - ...4 _3 z! d* R* A! v# \
- <httpProtocol>% I( `6 h$ l' n" _3 E8 ]
- <customHeaders>* S+ o# g- j9 M6 b
- <add name="X-Frame-Options" value="SAMEORIGIN" />
" g$ a8 H! `/ i) Y% L. L - </customHeaders> ( e0 _# }" P6 q. B: z5 E) E: v
- </httpProtocol>
" {5 i& ]0 N3 a; v' l/ R - ...& s4 ~, a9 U' d8 @
- </system.webServer>
复制代码
8 f" O/ C/ e8 t之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。: ?% z: q/ A% f* K
5 u) g9 q& `2 v9 s; ]% w3、推荐解决方法。. M2 T; i2 x& n2 ?% c7 ^
- <script language="javascript"> / A) T% t+ T* s# h' j
- if(top != self){$ i E m2 u! @0 T2 }; j
- location.href = "http://xp6.org/iframe.html";
|" g& y3 }; E0 _* ]9 n) f7 q+ n - top.location.href=self.location.href;8 B2 M0 X: d/ N5 Q. Y
- }
" s# ^( O: ]7 q* B! K4 m3 W! j& h - </script>
复制代码 " w0 l! @* x: h
将上面的代码复制到需要屏蔽页面<head>里面加载。& i9 i) k5 l: ]
制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
5 `5 L1 ?+ M" l- P原理:6 V# t! u& x2 ^# i: D" T D: d
第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。9 r9 J( A( O2 P, z& C
第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。
$ j9 ]8 D2 ~: r/ K) K. m目前测试这种方法没什么问题。: i9 M4 L5 r( C% d& M1 q, L4 K7 z- P& O
% N( I& L f+ |/ `0 B+ D! B
|
|