|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。
4 @5 @- [ V& p这次讲一下如何防止自己的网页被别人iframe。
. ~! O! c3 X% A3 k, b& e& q7 \6 v( y/ O8 e/ s
1、这些方法都可行,但不是太可靠。
& W3 F K! s! D! J$ l- <script language="javascript">
+ V3 T* X7 ~5 V6 N, p5 [ - if( top.location != self.location) top.location.href=self.location.href;
3 K* d' l/ T% J - </script>
复制代码 或7 O5 V% C, D7 h) ^( P( E
- <script language="javascript">
) f- s% y/ @, g - if (top.location != location) top.location.href = location.href; U9 j% W' M# t- W; o
- </script>
复制代码 或' a6 @; q$ | c a
- <script language="javascript">9 m: g$ J5 {+ F+ B& K' R5 P% Q$ h4 U
- if (top.location != self.location) {top.location=self.location;}9 m4 z7 G% S& @9 h* R9 x
- </script>
复制代码 或6 k. a7 l& ]% y9 W% N/ l, \
- <script language="javascript">
: h4 O5 ~2 W$ W1 m' J - if (top.frames.length!=0) top.location=self.document.location;/ I- R( A0 V3 c9 L
- </script>
复制代码 不可靠的原因:
0 t$ b* T; R# [- t E; Z当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。
$ Y4 [" U, G/ p U1 b% d- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
2 r( q. Z+ A8 u/ z8 y9 n0 o - <script language="javascript">
! w0 p3 b4 |4 ~7 G" T. \ - var location="";
! [% s; v0 I! ]9 j: x8 j3 Z2 |. k2 }. A% u - var navigate="";
9 l$ \, i! K7 y8 L - frames[0].location.href="";; V# n- |. s a
- </script>
复制代码 或
+ C4 w( c7 d1 M) a# Y/ C- r- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
复制代码 或6 H0 M. b! D1 W( V' K
1 P7 T- ^. o, F V9 f+ T, ]" |8 s- <script type="text/javascript" charset="utf-8"> }$ V- |/ g E& m* G/ j
- document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');
$ d: ~* A: q% g* u9 p, U# t- M: N - </script>
复制代码 2、代码层次的屏蔽,方法可行,但不是很人性化。
) P% C' a% U7 K: qMeta标签方法
% A. r5 z" B4 [* I- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
复制代码 PHP方法, v, V6 V( C7 c
- <?php header('X-Frame-Options:Deny'); ?>
复制代码 Apache主机方法
2 |4 o$ e# u4 b- Header always append X-Frame-Options SAMEORIGIN
复制代码 Nginx主机方法3 {; T) h2 P+ G
- add_header X-Frame-Options "SAMEORIGIN";
复制代码
5 e4 I$ O% p6 |4 b. }5 W.htaccess方法$ n! i0 s/ Q- f/ n
在网站根目录下的.htaccess文件中中加一句) L X$ A( I& }! m/ j
- Header append X-FRAME-OPTIONS "SAMEORIGIN"
复制代码 " m$ J3 H7 e4 ]6 C
IIS方法
( k4 s( v4 I1 L& f在web.config文件中加- <system.webServer>9 ?/ I; X' ] a* ` d4 X* \1 L: D# A4 E
- ...& N0 O3 M1 n- z8 w
- <httpProtocol>
! |6 ?' y3 N& Y3 w. ]" | - <customHeaders>
, R$ J: s8 B( d7 N - <add name="X-Frame-Options" value="SAMEORIGIN" />
, B1 `6 n3 r4 M t2 L, l - </customHeaders>
0 z$ H% p2 V/ D+ k, N @ - </httpProtocol>
, Y9 Y' s; e5 ^+ \ I; ? - ...) v5 {6 R& f" ^# `3 h; N8 x3 [! e, n# O
- </system.webServer>
复制代码
' d- @* _ q# t9 L) l之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。& d1 _6 d) n' w% w3 \0 v ?7 `
/ X5 Z8 i! R4 b' P3、推荐解决方法。
7 c% B2 m( \2 S" ?- <script language="javascript"> 4 n8 M C( R! O8 v$ M$ z! r# f
- if(top != self){+ B! V) ?1 z7 _ p" J# p
- location.href = "http://xp6.org/iframe.html"; ( V3 X4 u2 w+ B: G
- top.location.href=self.location.href;* l9 `9 o# [# ~3 U. U- Q7 W
- }
7 ?& t0 f$ ?! R; E - </script>
复制代码 5 w; M8 y# j `" N& H+ Q$ i
将上面的代码复制到需要屏蔽页面<head>里面加载。/ G2 m: `- n% G. y3 H1 ~
制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
9 s$ e+ i" r# c0 z6 |原理:
& Z! R; j" p. K9 j! P$ K" s第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。. B8 U$ k9 Q$ W) a/ r, ]
第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。
& w0 u2 t: e8 ?7 k6 E3 ?+ u目前测试这种方法没什么问题。( K" X( ]/ {. O/ Z" I, M0 P* O; m
1 h0 X; ^9 z, P/ a
|
|