|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。. g# {; M# o8 L; d* M2 N* I' b& ?
这次讲一下如何防止自己的网页被别人iframe。& D( m% s1 e/ D
9 t: N8 Y. _) E3 C" ~2 S1、这些方法都可行,但不是太可靠。
5 B1 d: g6 O# ^- G5 ~" x0 e$ p- <script language="javascript">; d5 M9 R9 V6 ?5 C
- if( top.location != self.location) top.location.href=self.location.href;
: c" ?# @) n/ ?4 \7 ?+ H - </script>
复制代码 或" w( |/ G3 w ?7 a
- <script language="javascript">
8 C7 ^+ d' t& Y: l* A/ K* D8 | ^ - if (top.location != location) top.location.href = location.href;
# g7 o: _1 D, q9 T$ ?3 w - </script>
复制代码 或
U5 h7 X, R: [# O- <script language="javascript">
7 U: V1 k1 D3 ^5 P: J - if (top.location != self.location) {top.location=self.location;}9 C( n" D# U9 z" H! @" F
- </script>
复制代码 或5 _% M4 n3 e. `$ B1 J' {
- <script language="javascript">
" n. O& U1 R! T - if (top.frames.length!=0) top.location=self.document.location;6 ?# y5 `# p0 L8 k
- </script>
复制代码 不可靠的原因:
2 f( O' o' r) H$ k; N当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。2 ~+ U3 x* f# E! ~
- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
# p4 e8 J9 Y% ?) Z5 i - <script language="javascript"> : V& K& u1 V i0 k( `9 m. e
- var location="";
8 H5 V3 h: b, s( L$ F' Q) r - var navigate="";5 W+ a+ L8 _5 u0 A
- frames[0].location.href="";! M" y- E7 I: o1 m% P- M3 {
- </script>
复制代码 或
# {+ a% q9 G# o3 P- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
复制代码 或
- U, _$ K3 r( e* D$ d4 ^+ C. x
( t) J$ r& G8 l# Z% x. A, I- <script type="text/javascript" charset="utf-8">
# K0 M4 C5 g. l* W - document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');2 e1 x. _% d8 `! `. }# l
- </script>
复制代码 2、代码层次的屏蔽,方法可行,但不是很人性化。
0 g2 L% w0 S8 JMeta标签方法+ ~8 J0 e$ ~1 x+ {
- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
复制代码 PHP方法2 ~1 P% W8 O; ?0 v; l3 Q
- <?php header('X-Frame-Options:Deny'); ?>
复制代码 Apache主机方法
/ H/ {0 X' { i# ~( L- Header always append X-Frame-Options SAMEORIGIN
复制代码 Nginx主机方法9 [1 W$ Z( ?) x3 m6 Z4 V
- add_header X-Frame-Options "SAMEORIGIN";
复制代码 / q& n8 d6 F* ], y+ b8 H4 j' O
.htaccess方法7 X9 e6 @1 p$ D4 P: ~# }/ M$ p
在网站根目录下的.htaccess文件中中加一句% w4 S* t2 J7 s. J6 v3 N, ?
- Header append X-FRAME-OPTIONS "SAMEORIGIN"
复制代码
' D1 M | I# ?( t0 [4 aIIS方法
9 z0 p4 N! d. K0 r3 q7 l2 {在web.config文件中加- <system.webServer>
+ d: i; z" D1 m% L4 f! l - ...* F4 D D& C; E/ R4 T- _
- <httpProtocol>
, g+ A# n' b5 K. s, q - <customHeaders>% e' Y/ a0 h9 y5 e- J* r
- <add name="X-Frame-Options" value="SAMEORIGIN" /> ! d' [' g$ N/ u7 }
- </customHeaders> ' T0 R$ C" |7 K. l8 Z/ g" l1 g
- </httpProtocol>
! F4 O) ~% L; t B5 e8 t - ...* V6 Z& u* J- X6 [
- </system.webServer>
复制代码 ( _- m. v; @& q u# {/ \
之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。: |5 e. i* U, e9 F
2 V' e2 @% L# X/ Y7 X
3、推荐解决方法。1 T# ^ d3 p! ?6 Z7 l2 h5 v
- <script language="javascript">
( D& F9 G. z( P" i" Q S3 Q1 k; K - if(top != self){
+ n. ]" H* @+ {, Q9 ~6 a- L - location.href = "http://xp6.org/iframe.html";
z. i* D0 v, {7 Q - top.location.href=self.location.href;8 I, ?6 i& }) u- a# T
- } % k6 m* c$ o! Y/ k
- </script>
复制代码 ) Q# U% O2 O' H8 H- c) s
将上面的代码复制到需要屏蔽页面<head>里面加载。
' i8 @6 l6 [% v制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
0 T; @# _4 P3 {/ x5 `8 b7 z原理:# |$ I3 d, p7 I
第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。1 W* c2 y& W2 T2 s' U0 x" x8 B
第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。& Z M, @1 C$ ]/ n8 n/ g
目前测试这种方法没什么问题。
' P1 u9 s& B' d2 E# j8 }1 i$ l# O* a
|
|