如何防止自己的网页被别人iframe嵌入

happyxp · 发表于 2020-11-16 17:30:36

前面说了如何阻止 iframe里引用的网页自动跳转，已达到iframe页面的目的。
这次讲一下如何防止自己的网页被别人iframe。

1、这些方法都可行，但不是太可靠。

<script language="javascript">3 a, {( _9 V8 O% v3 ?5 v" Y
if( top.location != self.location) top.location.href=self.location.href;
# C6 t9 {: o- _2 S# B* H" E: i8 [
</script>

复制代码

或

<script language="javascript">0 S) R" s( o P+ a) v4 q
if (top.location != location) top.location.href = location.href;
6 U j1 D. E9 ]8 b
</script>

复制代码

或

<script language="javascript">$ }/ A/ |* a! \$ b+ N2 D
if (top.location != self.location) {top.location=self.location;}; \/ V4 ]0 u C% o6 P& C
</script>

复制代码

或

<script language="javascript">" j) y! G: L+ G& ^: B" {& J1 g
if (top.frames.length!=0) top.location=self.document.location;# M3 y7 o9 W" Y3 B4 x- H. `* `
</script>

复制代码

不可靠的原因：
当别人用如下类似代码做IFRAME嵌套调用时，就可能躲过你的页面的javascript代码。

<iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>$ _2 A3 P! H/ g
<script language="javascript">
8 j; b3 _7 r% O) B& u5 J
var location="";! |# O; }/ [( d4 f* d; P$ d
var navigate="";
+ Q: _ |4 J, [( b/ [
frames[0].location.href="";- H: F, J, p2 D1 Q3 r3 Q6 |
</script>

复制代码

或

<iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">

复制代码

或

<script type="text/javascript" charset="utf-8">6 Z7 f! ^% L M4 \$ y
document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');
( {$ U1 Q1 H" h. W4 L
</script>

复制代码

2、代码层次的屏蔽，方法可行，但不是很人性化。
Meta标签方法

<meta http-equiv="X-FRAME-OPTIONS" content="DENY">

复制代码

PHP方法

<?php header('X-Frame-Options:Deny'); ?>

复制代码

Apache主机方法

Header always append X-Frame-Options SAMEORIGIN

复制代码

Nginx主机方法

add_header X-Frame-Options "SAMEORIGIN";

复制代码

.htaccess方法
在网站根目录下的.htaccess文件中中加一句

Header append X-FRAME-OPTIONS "SAMEORIGIN"

复制代码

IIS方法
在web.config文件中加

<system.webServer>% _4 z ]& o) C7 y! Y$ R0 I
...' m+ G. v. U5 c$ y3 O/ E6 z5 b4 j
<httpProtocol>
5 i0 w s. a# O9 _5 }
<customHeaders>
: D1 I6 o: j5 w& k
<add name="X-Frame-Options" value="SAMEORIGIN" />
' ]% n4 b! z& ]1 h* C7 n0 l' m
</customHeaders> : E& N1 Q. S" x$ @: w8 @
</httpProtocol> & i, ]( ]( x7 V( p/ T6 l( }: G+ w
...! ?) Q( f" b3 t$ r7 N
</system.webServer>

复制代码

之所以说不人性化，是因为这样操作之后，别人iframe会显示服务器拒绝之类的信息，虽然是屏蔽了，但是自己网站也不能宣传了。

3、推荐解决方法。

<script language="javascript">
/ E! u7 Z7 H" k& f D3 ]
if(top != self){- y3 _4 {1 X' ~( h0 U& S1 T5 N
location.href = "http://xp6.org/iframe.html";
9 X; I# U! k1 s. i; O" W) v) u
top.location.href=self.location.href;! t# j$ ^8 {; v* H4 P, i% g e
}
, _! ~& D. t) _* o% V. X
</script>

复制代码

将上面的代码复制到需要屏蔽页面<head>里面加载。
制作一个iframe.html页面里面放张网站宣传图片，加个链接，放到网站根目录。
原理：
第一步直接强制访问咱自己设定的iframe.html页面，如果网站禁用了JS跳转，那么执行到这一步就结束了，这样即使他们iframe了咱的网站，看到的只是咱的图片宣传页。
第二步，如果没有禁用JS，那么会接着执行top.location.href=self.location.href; ，然后跳转到我们的网址页面。
目前测试这种方法没什么问题。

[网站] 如何防止自己的网页被别人iframe嵌入