设为首页 收藏本站
搜索
»BBS 服务专区 IT技术 如何防止自己的网页被别人iframe嵌入
返回列表
查看: 14462|回复: 0

[网站] 如何防止自己的网页被别人iframe嵌入

[复制链接]
happyxp
发表于 2020-11-16 17:30:36 | 显示全部楼层 |阅读模式
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。) T- H, _1 Y$ M- ~* ?! A; L
这次讲一下如何防止自己的网页被别人iframe。: R% ?/ j* s- ?7 b
  u7 T) l" o* f5 u7 y  Z
1、这些方法都可行,但不是太可靠。
& n$ P( [$ g" i6 \$ S9 {' E  u
  1. <script language="javascript">. O8 w/ H) ?1 D+ b! d
  2. if( top.location != self.location) top.location.href=self.location.href;4 P6 d3 c! P! E+ l
  3. </script>
复制代码

' \5 r# {2 f, x# ]" [8 F
  1. <script language="javascript">
    1 k9 _/ \. ?! G1 h5 F! S! d8 U4 C
  2. if (top.location != location) top.location.href = location.href;
    8 {/ d1 `5 m5 l' e4 ~$ o
  3. </script>
复制代码

0 q8 {2 ?" v+ H
  1. <script language="javascript">/ G+ m1 q, ]( f" K
  2. if (top.location != self.location) {top.location=self.location;}0 V* J0 C! t6 K8 a5 K, J
  3. </script>
复制代码
9 n3 ^. J2 [$ T$ L4 r) B
  1. <script language="javascript">2 J8 B# J7 d! L" k3 i
  2. if (top.frames.length!=0) top.location=self.document.location;: v. N2 E+ F6 }0 @- V2 s
  3. </script>
复制代码
不可靠的原因:
) m) V# B: O3 Z. h4 D8 K: C当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。
$ ~% z7 _4 ^9 N
  1. <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv"  framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
    ! E* ]" I; `. C0 U- @7 I
  2. <script language="javascript"> : J1 f* E3 H4 j2 d- j
  3. var location="";
    . v  q/ R+ \: v% \' W
  4. var navigate="";0 j% \1 R3 G: C* ^4 `4 [
  5. frames[0].location.href="";
    7 k# A# P' v0 S" v- M6 U# R
  6. </script>
复制代码
  T' h( J0 B* B- n+ \: w0 f. p+ d0 R) @
  1. <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
复制代码

( v- d& X# k& F  R0 ]6 \
. s9 [. i- x$ `7 M% F) v
  1. <script type="text/javascript" charset="utf-8">
    ! h7 o, G' l% B. c* f
  2. document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');
    & p9 V& x9 t2 ]8 j! E
  3. </script>
复制代码
2、代码层次的屏蔽,方法可行,但不是很人性化。
. W& F6 ^3 w, b6 cMeta标签方法1 X. P% m. B! A0 z# M
  1. <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
复制代码
PHP方法8 @$ W; u0 e6 s) y6 V
  1. <?php header('X-Frame-Options:Deny'); ?>
复制代码
Apache主机方法3 S0 m) _( X- X* d: t4 b
  1. Header always append X-Frame-Options SAMEORIGIN
复制代码
Nginx主机方法
" p3 M6 H% K' I* F7 o
  1. add_header X-Frame-Options "SAMEORIGIN";
复制代码

" _+ ]- I! E$ |6 w.htaccess方法
* t: }+ |; |% V8 ^0 h在网站根目录下的.htaccess文件中中加一句
% m1 b9 Y* l* b5 U6 R
  1. Header append X-FRAME-OPTIONS "SAMEORIGIN"
复制代码
* ^0 g) k& ]& N) f* b; T; T# O- H
IIS方法
7 h/ q' T$ {3 }" ?1 y& j在web.config文件中加
  1. <system.webServer>
    ; \# p3 x- w+ D7 }
  2.   ...- n( ]1 C6 |3 I2 u' }  \  p. X
  3.   <httpProtocol>7 `" K- v' b5 R: [# N5 x
  4.     <customHeaders>
    4 [$ U& ?, X# `) [' N2 C4 _
  5.       <add name="X-Frame-Options" value="SAMEORIGIN" />      + h5 V& }% e+ {1 X4 t( G
  6.     </customHeaders>   
    ( x, ~1 V4 u2 L" D  I+ x
  7.   </httpProtocol>  
    + o' R" [# x. A7 U: n
  8.   ...1 w. }, I3 E1 l- ~: R: e
  9. </system.webServer>
复制代码
: Y# i* r' M, h: n4 b" n
之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。& A0 J9 T# n0 D  g0 _  D5 k8 A

4 h' E8 |- b, f# d( h+ H# [3、推荐解决方法。) q; f8 F% ~7 s! N+ z
  1. <script language="javascript">  
    # F+ n  e" D, q. T- i9 c
  2. if(top != self){
    * f$ H3 o8 Q( T/ `; Z; L+ Q, ]% a
  3.     location.href = "http://xp6.org/iframe.html";  
    : q+ z' U; Z. S
  4.     top.location.href=self.location.href;% w+ j* x6 \: S8 M
  5. }  
    / e% w9 V5 I" e
  6. </script>
复制代码

. m! y3 t2 i4 V3 q将上面的代码复制到需要屏蔽页面<head>里面加载。0 P2 _$ m$ ]4 ^1 q$ @* k" [5 C
制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
' U: `8 k1 {% Z1 E' L6 x原理:4 ^  |7 E3 m- I' s
第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。
- ?& p6 S( s7 |7 [/ w9 s2 G第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。4 m4 K: E0 C  S! _  ~
目前测试这种方法没什么问题。
9 k  K3 A( v$ c: G: w; B- R( V1 U8 @5 n. x/ ^1 M+ d8 Q
回复

使用道具 举报

返回列表
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册帐号

本版积分规则

热议作品
精华帖子排行
精彩推荐

虾皮社区,成立十年了!

站长自己也搞不懂想做个什么,反正就是一直在努力的做!

商务合作 问题反馈 版权声明 隐私保护 联系我们 关于我们

Copyright © 2007-2019 xp6.org Powered by Discuz

QQ|Archiver|手机版|小黑屋|虾皮社区 鲁公网安备 37021102000261号 |网站地图
返回顶部 返回列表