搜索
查看: 14592|回复: 0

[网站] 如何防止自己的网页被别人iframe嵌入

[复制链接]
发表于 2020-11-16 17:30:36 | 显示全部楼层 |阅读模式
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。- w2 S6 r3 }. Y8 G( {  }/ H6 D
这次讲一下如何防止自己的网页被别人iframe。, ^0 j: r# {" F% d

/ t& g( S) t! }* U! F' K1、这些方法都可行,但不是太可靠。. t9 A$ s: M0 ]
  1. <script language="javascript">
    # }7 S( l: n/ v* f& p0 R: i8 _
  2. if( top.location != self.location) top.location.href=self.location.href;
    ( z8 {- _) `/ U. R) ~. ^( a) y5 x) f/ H
  3. </script>
复制代码

; r8 L# d2 X* p; z  P0 N, g# V# n
  1. <script language="javascript">; ?2 k' P' D& b6 l% g
  2. if (top.location != location) top.location.href = location.href;2 v- b2 c4 P9 g1 o% P1 S0 U% v
  3. </script>
复制代码

, L( P: @) U; T2 a
  1. <script language="javascript">- `' D+ w$ q3 x4 W; T
  2. if (top.location != self.location) {top.location=self.location;}
    + w: k( A$ Q6 m% ?, `( J
  3. </script>
复制代码

9 m) t# [: j# Y# B, X: Z
  1. <script language="javascript">
    ; S" I! U0 {' Z3 y
  2. if (top.frames.length!=0) top.location=self.document.location;3 ~3 R3 W4 R4 ~  |" @/ Q
  3. </script>
复制代码
不可靠的原因:6 i* x& J8 m/ t
当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。' H+ a0 k9 B4 i2 m- Y0 m; q
  1. <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv"  framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>3 K) v6 ?/ j" t) T& Q3 z  s- _3 C
  2. <script language="javascript"> ; x3 M8 }7 I- r, {0 U# t; z! @
  3. var location="";1 z' Y' x0 H+ p
  4. var navigate="";
    ' @( S: x; n% Q) v% a/ M
  5. frames[0].location.href="";
    3 z- n1 U9 f7 Q8 x: e
  6. </script>
复制代码
# w. b. }* P% d. O3 ~
  1. <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
复制代码
/ C4 @6 M! J' Q: N
7 o' r; X# R- }/ a3 E
  1. <script type="text/javascript" charset="utf-8">
    3 N6 ^) W7 u4 S+ `8 r% G/ |- s
  2. document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');  c3 T# O* r' k7 p8 x
  3. </script>
复制代码
2、代码层次的屏蔽,方法可行,但不是很人性化。
; [" n& o, A3 \/ JMeta标签方法
& e7 V* e' q% }  n" n
  1. <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
复制代码
PHP方法
$ T2 s* y( S# v" A
  1. <?php header('X-Frame-Options:Deny'); ?>
复制代码
Apache主机方法% L2 z5 P: {7 d6 r( w
  1. Header always append X-Frame-Options SAMEORIGIN
复制代码
Nginx主机方法
0 |; o! d" g3 i  e2 Q* f8 C# r
  1. add_header X-Frame-Options "SAMEORIGIN";
复制代码

4 B% o6 v/ R! a) ~( J, r' A, h; U, J.htaccess方法# S$ T/ K. _5 ~- y( K9 i5 }
在网站根目录下的.htaccess文件中中加一句, I8 L/ m$ C7 S3 `$ l
  1. Header append X-FRAME-OPTIONS "SAMEORIGIN"
复制代码

, w# R- c0 o, L- AIIS方法% X: D9 R5 m/ s. R+ y
在web.config文件中加
  1. <system.webServer>
      Z" B* Z3 b) c. y, }& C. V; N( B
  2.   ...
    : W6 G! t% ]* R3 M) u- I3 ?1 C- q
  3.   <httpProtocol>
    8 \! ]7 q" h# X! E
  4.     <customHeaders>1 @; `0 ]1 J) a
  5.       <add name="X-Frame-Options" value="SAMEORIGIN" />      " J$ K, d) N6 N. m: Q
  6.     </customHeaders>   
    # C2 x( Q( N- t  M( F
  7.   </httpProtocol>  
    6 K+ z. e( [: ^/ R- Y" L
  8.   ...5 v* s' s) p+ f8 }& ~% A  {" C3 C
  9. </system.webServer>
复制代码
, p% ^; n9 l, q- G* `
之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。$ b# |- ~0 Z( a; {  c( T

4 X7 ?& d& V* r1 }8 W" `5 C# _3、推荐解决方法。0 ]; Z* g) h4 w* V
  1. <script language="javascript">  
    % g. F0 c$ A& b$ B: v! E# Q
  2. if(top != self){0 A4 q8 {! n" p4 Y4 h/ U1 v0 N
  3.     location.href = "http://xp6.org/iframe.html";  
    9 J! e7 V; a- N4 d; T( e% p, ]* C
  4.     top.location.href=self.location.href;
    5 W2 P' R& h8 p. j+ a5 \: c
  5. }  0 T7 ]. c* W9 {5 D
  6. </script>
复制代码

  F4 n8 y  E. O将上面的代码复制到需要屏蔽页面<head>里面加载。% V. G* \1 E4 X& \5 u- j1 S
制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
" A! n# w4 W' M6 B5 |  D原理:
3 k& I! {4 ^0 A第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。
8 @7 D" g1 k/ X2 A5 s第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。9 c* W( j4 L( }) ~- j4 y& i& L
目前测试这种方法没什么问题。
. d! [7 X& x* U. C# h; P5 N
% T  C9 b* x! \
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册帐号

本版积分规则

热议作品
精华帖子排行
精彩推荐

虾皮社区,成立十年了!

站长自己也搞不懂想做个什么,反正就是一直在努力的做!

Copyright © 2007-2019 xp6.org Powered by Discuz

QQ|Archiver|手机版|小黑屋|虾皮社区 鲁公网安备 37021102000261号 |网站地图
返回顶部 返回列表