|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。
8 o& Q+ i; W% ?9 @, F! Q2 \这次讲一下如何防止自己的网页被别人iframe。
; ], W% j+ s3 R+ Z9 f/ E& [) B* a- i4 H; _5 |% L
1、这些方法都可行,但不是太可靠。8 M5 K" T% Y* J$ H6 N
- <script language="javascript"># I; a- l9 w- A" q3 |( p( Y5 ~9 R
- if( top.location != self.location) top.location.href=self.location.href;: H, i) p( l k9 ?2 T; G3 }2 |, D
- </script>
复制代码 或" O; a% Z4 j' S: E) r
- <script language="javascript">
! L( ?5 F' H8 w - if (top.location != location) top.location.href = location.href;
7 A- ^3 G$ c/ j ^ - </script>
复制代码 或
0 {: D/ G6 |( O, Q; N; U- <script language="javascript">
$ i8 ?6 U: M& T z: v) D - if (top.location != self.location) {top.location=self.location;}
* o* _' P. f$ i, Y - </script>
复制代码 或
E H6 D9 X# [+ J8 n- <script language="javascript">4 e$ \# F7 v" M8 O/ E0 J$ X$ `) X
- if (top.frames.length!=0) top.location=self.document.location;
( ^* @9 C, F M' s: i% K - </script>
复制代码 不可靠的原因:. n# Q+ K* D' C
当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。9 }1 ~$ a `' ]2 Z" X( b
- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>4 N F/ K1 o% C8 S
- <script language="javascript">
) ?4 s1 n1 I- m# D" w - var location="";. H; H& a# u+ v$ c7 ?6 ^$ C
- var navigate="";# `) B$ s- i8 \+ u" m, h
- frames[0].location.href="";2 R- U6 C9 j9 X: J
- </script>
复制代码 或# J5 ]3 V3 v/ [% ?6 B
- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
复制代码 或
! m/ }) B/ H. n# T* o- C/ I
. e( x8 @8 [" R( l" O- F* T8 Q- <script type="text/javascript" charset="utf-8">. E2 z9 A4 R/ H6 f1 ^
- document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');
5 r) d6 F5 O8 X9 K/ c" Q, b+ @3 w - </script>
复制代码 2、代码层次的屏蔽,方法可行,但不是很人性化。
v: T8 s& U; g. x# e% q# TMeta标签方法
! K7 E4 S2 S6 R$ z& `- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
复制代码 PHP方法! @3 S# d7 k7 k$ C
- <?php header('X-Frame-Options:Deny'); ?>
复制代码 Apache主机方法
/ f4 h) U' ~) q0 @% f- Header always append X-Frame-Options SAMEORIGIN
复制代码 Nginx主机方法! t* M: S+ S6 U/ k0 d7 V% H
- add_header X-Frame-Options "SAMEORIGIN";
复制代码 : R; N$ t3 f- k$ M9 ^# D% i; W
.htaccess方法% L [+ k* ?7 [
在网站根目录下的.htaccess文件中中加一句6 T; z) e0 B! C+ d
- Header append X-FRAME-OPTIONS "SAMEORIGIN"
复制代码
' D) T; P+ }0 t; v* t. S0 nIIS方法$ V! X% E! x0 n B; Y3 e
在web.config文件中加- <system.webServer>
0 _/ A, u$ r( g' M; q) } U - ...# o! X; O3 F8 _) u: n3 ^
- <httpProtocol>' P# P$ X1 F. d- S. c4 Z. E
- <customHeaders>
9 C6 o$ e+ ~3 z& }) F4 _% W - <add name="X-Frame-Options" value="SAMEORIGIN" />
# M( K! Z1 S \' K. |6 |3 t8 C - </customHeaders>
. B, Z- Z* B6 Z) k. n - </httpProtocol>
5 g/ J% X k3 F. M' L' M - ...
: O' E8 ?! t+ h- o6 V - </system.webServer>
复制代码
! B+ l0 f' N6 m之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。
- e% w n: D0 P& s2 ?4 C6 z' d1 ]
' ]& ~" U" E/ K( |/ `8 P0 Q- |7 Q3、推荐解决方法。; y7 Z" k1 R1 h9 D2 W9 v* }
- <script language="javascript">
' o7 t' n- U0 X3 H* ?( S# N - if(top != self){
& x* L& X! |# ]3 j; v - location.href = "http://xp6.org/iframe.html"; 2 F5 X. h# s8 J. r! O
- top.location.href=self.location.href;1 l! a7 U# n3 w3 Q- B) D2 y
- }
8 A" u$ Q3 ?# ~7 e$ S) L - </script>
复制代码 2 R- Z8 g2 y5 H1 i
将上面的代码复制到需要屏蔽页面<head>里面加载。# G0 Y( b9 U" d v7 b* G3 u3 M
制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
$ i( Q6 ?# s2 C: T" k. O原理:1 \. s8 X: a9 J
第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。
& k0 b! J3 \ S7 C+ v第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。5 j$ L! A: `% O6 S- Z' J! s3 E
目前测试这种方法没什么问题。" ?, r; _/ `" i; \+ j
) b# u- f0 L3 j3 l1 s |
|