|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。
- _* [! F$ \5 p$ i" F8 |这次讲一下如何防止自己的网页被别人iframe。4 I8 A* x9 e: W9 S0 q; b) r
- c: S8 f) _' ?2 {- Q
1、这些方法都可行,但不是太可靠。1 ?8 H" N9 K Z( s/ d2 }! e
- <script language="javascript">4 ^- z! X" Y/ d& m% u
- if( top.location != self.location) top.location.href=self.location.href;
* m: J" i5 G/ S% U) b! e* { - </script>
- <script language="javascript">0 }. n- Z; ^1 P) F9 D3 {" V
- if (top.location != location) top.location.href = location.href;
5 @: |& O# _% @- m( C4 h6 V+ L& v - </script>
0 @) d6 k" D% r# D+ L- <script language="javascript">0 s7 a4 R# e0 g& P# ?! B G5 |
- if (top.location != self.location) {top.location=self.location;}
* \9 d; J/ L- ~' o4 v" [ - </script>
9 Z! m. ^3 t, i$ X/ u8 Y/ p- <script language="javascript">1 e& ], c! ^1 Q, t
- if (top.frames.length!=0) top.location=self.document.location;
e) M+ |9 Z6 N2 `/ E. h: x# G - </script>
当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。/ {; T) `3 {* ]( {5 d1 D+ y
- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>5 ^1 n5 N1 }& d0 r: s
- <script language="javascript"> & d" L6 A m0 e" E
- var location="";9 ]+ [, Q1 n# Q/ C
- var navigate="";0 @! n) \% |, B* @$ q
- frames[0].location.href="";
0 X# M" M# p D3 _ - </script>
- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
! M2 ?7 ~$ M' I" g2 V+ ?4 [$ b7 K
7 K# Y( E! c$ `5 W- <script type="text/javascript" charset="utf-8">6 l9 V7 \7 ?* G, t2 Q
- document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');! Q" w: ?( h9 f7 {7 p5 E2 ]" A9 N
- </script>
Meta标签方法. x& X; W# x% U# a y; i; J: q2 E
- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
- <?php header('X-Frame-Options:Deny'); ?>
. T! @8 B/ W# v9 _6 ?% K- Header always append X-Frame-Options SAMEORIGIN
/ n/ |/ G2 _9 L1 T4 {7 ]4 q- add_header X-Frame-Options "SAMEORIGIN";
.htaccess方法
+ m6 s7 L: d" N( n在网站根目录下的.htaccess文件中中加一句0 W7 h3 i+ T# t; _3 D
- Header append X-FRAME-OPTIONS "SAMEORIGIN"
IIS方法
/ [7 a* {3 L6 y: k. m- D. S在web.config文件中加- <system.webServer>
- x' a' } g+ a/ y - ...
# j9 i1 P+ C+ ~ - <httpProtocol>( o2 D5 k5 S4 V1 @! _* Z5 s- B
- <customHeaders>& v x. g! { n" {( J: F8 T
- <add name="X-Frame-Options" value="SAMEORIGIN" />
& ]* l( e4 ?+ i; L$ @: ^ - </customHeaders> ( W) @' E7 k8 y9 f
- </httpProtocol> % o. r3 |) b% u8 F: D( c; r
- ...1 \. \3 k! f" x U
- </system.webServer>
之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。7 a. l9 _2 J2 G0 B9 x1 D
# K. x, B E: P8 \1 q$ z
3、推荐解决方法。
* b! Y/ {) w3 e; L; h* T! S- <script language="javascript">
5 {( z5 Q# s" p$ o2 P. m - if(top != self){
3 [+ a2 E. z+ u4 M! t ]2 t2 @% E: _ - location.href = "http://xp6.org/iframe.html";
, f) r) g+ ]: d# _* e3 u. n- v - top.location.href=self.location.href;$ D- R% L/ m) x) [7 ~6 [
- } # b* d, ?( z( ^
- </script>
将上面的代码复制到需要屏蔽页面<head>里面加载。
4 q) Z/ m; _7 J. m$ g- @制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
7 R2 N" ?( \* w原理:2 p# a2 _ ~& b1 Y! f. W3 Q) [
第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。: G$ `/ P* w$ x
第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。
9 ]$ @6 m1 _) E @) c6 n* u$ i) r目前测试这种方法没什么问题。
, j6 d$ z, v% f; Z8 B
8 J/ k0 A. @; H7 B1 M1 ? |
|
发表于 2020-11-16 17:30:36
千斤顶
显身卡
鲁公网安备 37021102000261号