搜索
查看: 14681|回复: 0

[网站] 如何防止自己的网页被别人iframe嵌入

[复制链接]
发表于 2020-11-16 17:30:36 | 显示全部楼层 |阅读模式
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。
$ D4 g( z7 f: g7 y' P7 k8 Q这次讲一下如何防止自己的网页被别人iframe。* F' i- J# c3 `3 j

5 a: T" U. U! }8 n, e% D8 j1、这些方法都可行,但不是太可靠。% T4 m  r- v! D/ ]* j! D$ Q' M3 z
  1. <script language="javascript">
    ! K1 V( q4 N5 M$ H
  2. if( top.location != self.location) top.location.href=self.location.href;
    ( P; D3 }  B) i1 [+ [# o
  3. </script>
复制代码
* X) o/ u4 r  W1 c7 I4 j
  1. <script language="javascript">
    2 A' Z* R5 R2 S6 u' y% h
  2. if (top.location != location) top.location.href = location.href;* L6 k/ E! U1 v
  3. </script>
复制代码

+ m( y% N; p( d8 t  L
  1. <script language="javascript">
    6 ]; y& a; v8 B# o  F- N
  2. if (top.location != self.location) {top.location=self.location;}, w1 m; M, P" K
  3. </script>
复制代码

' T( i4 `1 K# M- I
  1. <script language="javascript">+ z7 d: J2 ~! }+ U# z& [: G
  2. if (top.frames.length!=0) top.location=self.document.location;: R, M9 w# E/ ]0 v5 X! |
  3. </script>
复制代码
不可靠的原因:
7 Z9 G  f" G' b6 H5 }8 n当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。
0 W8 I, C) M. z: W6 c+ B- a  o
  1. <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv"  framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
    ) N5 N( \' r  m
  2. <script language="javascript">
    # E4 y' {3 I' n3 o* j' i$ c
  3. var location="";
    $ ^0 A  J) t- d9 L/ V& R
  4. var navigate="";
      \& @0 C3 a2 E
  5. frames[0].location.href="";
    8 Y( b) D# M* e' S! w
  6. </script>
复制代码

/ [$ v, f! |8 D. j0 U0 |" J% k: F
  1. <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
复制代码

2 E/ O4 }1 l. W7 C& G
7 y  x0 E  e  }% k" [: ], o
  1. <script type="text/javascript" charset="utf-8">
    7 y& r% j+ _$ A: y9 [. \- M% R
  2. document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');; f; U1 p, @. z. j1 Q' F
  3. </script>
复制代码
2、代码层次的屏蔽,方法可行,但不是很人性化。
: r* Y5 W' o; [" vMeta标签方法
5 t$ h6 I* y: v& z: _
  1. <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
复制代码
PHP方法
# z! q8 H. i( r; S7 w6 K, f, v
  1. <?php header('X-Frame-Options:Deny'); ?>
复制代码
Apache主机方法9 a; p8 F0 u9 {! m
  1. Header always append X-Frame-Options SAMEORIGIN
复制代码
Nginx主机方法
6 N6 e5 \2 v! V' ]* u/ S4 G/ S
  1. add_header X-Frame-Options "SAMEORIGIN";
复制代码
! c, f9 e7 [1 j) G- l0 ~- ], s( ~
.htaccess方法: G3 E% W$ x# A. u
在网站根目录下的.htaccess文件中中加一句
5 X0 f$ n; R& L& K  y) Q' @
  1. Header append X-FRAME-OPTIONS "SAMEORIGIN"
复制代码
# k" T& O7 Y0 o* {6 e
IIS方法+ j' \# A1 @$ g3 c) q2 r% Q
在web.config文件中加
  1. <system.webServer>
    " p. P) l, v7 R/ [8 B
  2.   ...
    ! H3 O; W) Z& I1 L& B. p! @  e; {
  3.   <httpProtocol>+ ]5 p$ B% M: R- u; v6 V
  4.     <customHeaders>3 F- f7 ]7 L- X
  5.       <add name="X-Frame-Options" value="SAMEORIGIN" />      
    ; H, O: A/ |/ `' i
  6.     </customHeaders>    . ~$ u8 T) s. R8 H  B1 z: A) b0 h4 e
  7.   </httpProtocol>  
    ; j! ^( P1 U3 o" J5 |  X
  8.   ...% W: b/ n/ G9 S2 L+ C
  9. </system.webServer>
复制代码
* a- T7 ~9 C) _% f% m; x: `/ {
之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。
) v; v+ o$ M0 ?- [& d3 g) ]3 C2 D
" l7 d3 s/ K3 b, T) g) b+ C& S3、推荐解决方法。7 j  i1 q* O) X  U
  1. <script language="javascript">  
    2 M, m! P2 s  N8 k
  2. if(top != self){; `% j& K0 p1 l
  3.     location.href = "http://xp6.org/iframe.html";  6 _( V2 W/ a& N
  4.     top.location.href=self.location.href;
    $ M' Y- H9 J# |# ^8 C2 o+ d
  5. }    n) n) y/ t- D. J' E6 g1 Q* ]
  6. </script>
复制代码

# {; u* w/ d1 S3 G将上面的代码复制到需要屏蔽页面<head>里面加载。
! k2 K6 F+ p- V* T制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。  V9 i9 U% J5 A
原理:
' w' |8 k# {$ b" I第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。
6 D& h2 i: }  f# C! X- n第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。
1 P6 Y% Q  ?# O/ C4 [目前测试这种方法没什么问题。
+ ]$ b- C0 ^+ y; p) F5 _, u
. Z8 l8 _, W) I9 ~; `+ y" k# N
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册帐号

本版积分规则

热议作品
精华帖子排行
精彩推荐

虾皮社区,成立十年了!

站长自己也搞不懂想做个什么,反正就是一直在努力的做!

Copyright © 2007-2019 xp6.org Powered by Discuz

QQ|Archiver|手机版|小黑屋|虾皮社区 鲁公网安备 37021102000261号 |网站地图
返回顶部 返回列表