设为首页 收藏本站
搜索
»BBS 服务专区 IT技术 如何防止自己的网页被别人iframe嵌入
返回列表
查看: 14693|回复: 0

[网站] 如何防止自己的网页被别人iframe嵌入

[复制链接]
happyxp
发表于 2020-11-16 17:30:36 | 显示全部楼层 |阅读模式
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。
7 L0 V. @  o* c9 R这次讲一下如何防止自己的网页被别人iframe。
; N/ J( X2 N7 _4 Z# a1 R* W5 t3 `* s
" G. T' r; W" {! i1、这些方法都可行,但不是太可靠。5 U6 \8 M) Y6 ~2 ]: R
  1. <script language="javascript">1 c" i. c& l. |
  2. if( top.location != self.location) top.location.href=self.location.href;1 y. ~+ `1 w/ D7 g
  3. </script>
复制代码
* g+ z  b0 ~9 i1 L
  1. <script language="javascript">
    ; k3 T9 K$ v* b( M- `: H
  2. if (top.location != location) top.location.href = location.href;
      a3 a) s2 w8 P) o& {! Q
  3. </script>
复制代码
, \8 l/ y1 e9 C% m2 y5 Y) _
  1. <script language="javascript">+ h1 {! I) ]: F8 y0 ^8 Z" U! P
  2. if (top.location != self.location) {top.location=self.location;}
    ! b5 ]8 M' E# m5 M$ c+ @0 C/ d* G
  3. </script>
复制代码

+ R8 E" s2 s3 b0 }) E) @
  1. <script language="javascript">" C! E: k* ?4 A$ d$ T
  2. if (top.frames.length!=0) top.location=self.document.location;
    , v: @3 f/ X; D! K
  3. </script>
复制代码
不可靠的原因:0 e# V2 V* X# P2 ^' A5 _, j  k
当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。
6 x8 n, n7 v0 j
  1. <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv"  framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
    % y' z% W7 ~/ V. z
  2. <script language="javascript">
    9 D2 n7 `/ d& O2 J/ c+ x. Y2 U
  3. var location="";
    * W7 W6 u! p# I, p! I/ \8 }6 s
  4. var navigate="";5 l# m/ I( l$ `2 j9 M
  5. frames[0].location.href="";: I# J1 u% Z: W( c$ l9 l  K  k' j
  6. </script>
复制代码
) A; x0 d& G, p/ ^, n, g, F
  1. <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
复制代码
5 F+ `9 Z0 z5 p0 c3 K7 o* {

1 H4 Y: R- ^- _1 Q) {  E9 }: J
  1. <script type="text/javascript" charset="utf-8">
    . M% R4 C9 M8 M% p
  2. document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');
    5 Q7 \3 K9 `1 V1 }' a
  3. </script>
复制代码
2、代码层次的屏蔽,方法可行,但不是很人性化。+ W1 A+ T6 ~( V( q7 ]
Meta标签方法5 ?, b, Y+ t9 D! T  W. `% ^/ a
  1. <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
复制代码
PHP方法
$ J' i5 {" @. E, Q' t. H# m
  1. <?php header('X-Frame-Options:Deny'); ?>
复制代码
Apache主机方法
. S7 W' D" y9 [8 @# t( Y8 u
  1. Header always append X-Frame-Options SAMEORIGIN
复制代码
Nginx主机方法" E/ {6 ]7 e& m  n& E, Z' I% R$ @
  1. add_header X-Frame-Options "SAMEORIGIN";
复制代码

8 p* D7 |2 w/ J7 x  |.htaccess方法& c& r/ M' j/ f0 ~
在网站根目录下的.htaccess文件中中加一句
2 x' z7 D# h9 U2 ~+ v
  1. Header append X-FRAME-OPTIONS "SAMEORIGIN"
复制代码
' V. c1 @4 v& ?( C
IIS方法
$ H6 w; J/ n3 c- Q在web.config文件中加
  1. <system.webServer>! d, q+ m; P6 A4 Z
  2.   ...) F, ^3 d+ s: k1 l5 @5 r! o% k
  3.   <httpProtocol>9 W" t9 `& i' m5 w" m  r$ I
  4.     <customHeaders>5 ^6 e/ W' v2 Y, ^
  5.       <add name="X-Frame-Options" value="SAMEORIGIN" />      3 q' k: G3 a+ ?- y
  6.     </customHeaders>   
    / |. V6 E8 ~$ ]+ e& m. ~
  7.   </httpProtocol>  9 j1 }$ P$ d( u( g9 R
  8.   ...
    * p0 [  R, n. n0 V" i
  9. </system.webServer>
复制代码
4 g# |4 `" l# N# F% q% s
之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。8 y1 n9 ^% t0 Y2 f, j

- e. b) y  O; [2 w1 M/ R( X( M3、推荐解决方法。
, `! T$ W9 e# [" m& p
  1. <script language="javascript">  ( H' I. R- d* \; F$ l$ e
  2. if(top != self){1 o- m4 k0 \% w; q( o" U* p
  3.     location.href = "http://xp6.org/iframe.html";  - c* B  M- _# Q8 D& ?
  4.     top.location.href=self.location.href;( k1 T, k& y! J1 c
  5. }  
    : C/ j. ~5 z1 H- y$ U" t; ~
  6. </script>
复制代码
( c: p$ @* \- K
将上面的代码复制到需要屏蔽页面<head>里面加载。! y, U2 b" o7 S$ @/ H# b( p: T. Y' l
制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。) s9 |! u9 W' Y
原理:
$ W* K; w, g% Y4 P0 ^4 U" C  C; u第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。
0 E. }3 I$ q4 c4 r( `第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。% M& ]( E8 Y( Z
目前测试这种方法没什么问题。
. R2 j& V* n$ C+ m
# A* {- C, F1 I4 R) d  R1 i# ~  F
回复

使用道具 举报

返回列表
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册帐号

本版积分规则

热议作品
精华帖子排行
精彩推荐

虾皮社区,成立十年了!

站长自己也搞不懂想做个什么,反正就是一直在努力的做!

商务合作 问题反馈 版权声明 隐私保护 联系我们 关于我们

Copyright © 2007-2019 xp6.org Powered by Discuz

QQ|Archiver|手机版|小黑屋|虾皮社区 鲁公网安备 37021102000261号 |网站地图
返回顶部 返回列表