|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。
4 p7 E9 ~% Y7 ~% F8 D这次讲一下如何防止自己的网页被别人iframe。
' K' `$ x) l+ B- ~) y# l2 |/ [$ A* b7 B
1、这些方法都可行,但不是太可靠。
( _4 a: w* [* S- <script language="javascript">! x+ V* D2 v/ D. ^2 G y( \
- if( top.location != self.location) top.location.href=self.location.href;1 m4 T3 n! m; a+ @( B" p! v
- </script>
复制代码 或
) r; P+ Z) I8 [' S- <script language="javascript">
6 ~$ S& g% [5 W# |2 V% J - if (top.location != location) top.location.href = location.href;
8 e, V9 E! T* c% V2 C: V) P - </script>
复制代码 或8 i! M5 j- t. i: E q
- <script language="javascript">- ]" c, o* i1 W! |) ~
- if (top.location != self.location) {top.location=self.location;}7 D: Q6 M7 E) i9 | Q# B
- </script>
复制代码 或& K) Z. m( c: q* Q. ?' l/ B, G
- <script language="javascript">
5 T; A9 T; H& W- R - if (top.frames.length!=0) top.location=self.document.location;$ \; ^( b. x+ L! [
- </script>
复制代码 不可靠的原因:; t2 `" p$ H& L0 l! ^: |1 Z) I- ]/ B
当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。
' L# ]( o* ~6 G3 V! r( M4 G- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>9 h8 G3 Z9 E9 d9 c: K
- <script language="javascript"> 1 @/ }9 d9 P3 g5 ^. l y
- var location="";* r3 S4 ?, U6 x0 M: ~ T
- var navigate="";
/ u0 C) ~/ [2 |% a% ]/ N - frames[0].location.href="";8 m; C% ]9 t7 c: P: K: s
- </script>
复制代码 或
* Q: F2 q) _0 H* A R# x* U- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
复制代码 或
9 P( m% C: i4 d
# S0 a) ]! P, d' w$ ^- <script type="text/javascript" charset="utf-8">8 {$ p) x. K- V# X) ?. P! U9 f
- document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');" ^! k% R% z7 J. S ~( T
- </script>
复制代码 2、代码层次的屏蔽,方法可行,但不是很人性化。: Z V4 j( r, I+ i% G% j
Meta标签方法3 Z' Z5 Q. h2 F, m+ D& H6 @4 n n
- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
复制代码 PHP方法
- ^" s! \) {+ [9 B9 s- <?php header('X-Frame-Options:Deny'); ?>
复制代码 Apache主机方法
+ D9 ^8 A2 D$ h9 C* o" f- Header always append X-Frame-Options SAMEORIGIN
复制代码 Nginx主机方法
9 \. v- ^$ d0 c3 `- add_header X-Frame-Options "SAMEORIGIN";
复制代码
" r: j0 ]* _8 j* E X2 E) W" y.htaccess方法
: Q# `0 q: W( d在网站根目录下的.htaccess文件中中加一句0 ]( S# m! V% O3 I" N- R% y. ?* L
- Header append X-FRAME-OPTIONS "SAMEORIGIN"
复制代码 . E" V. w/ Z2 T1 P" _% I: e+ E
IIS方法5 r- R5 Z0 B; W6 k/ Y
在web.config文件中加- <system.webServer>$ {1 b0 {; d2 A8 r7 O! ~ J
- ...5 q" ]8 G% p5 {% K, @0 d
- <httpProtocol>
A! P7 ?3 @2 p/ p - <customHeaders>
; m, J2 |+ N7 v - <add name="X-Frame-Options" value="SAMEORIGIN" />
$ y% Y6 u$ p0 P: Z3 t. h - </customHeaders> ( Q! x7 p$ f( z; |
- </httpProtocol> 8 Q: P, F, \5 m7 F9 G( C; h5 x
- ...4 ]- o; ?5 a8 k1 M
- </system.webServer>
复制代码
1 x; V% G! ^% _1 d0 i& t之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。
2 j6 v$ n- P0 @- ` K) K8 n( h9 U
3、推荐解决方法。' g/ J5 _# }: r' M' r" u
- <script language="javascript">
/ K- L4 p$ L" a0 K - if(top != self){
9 Q4 @# S, m/ r h - location.href = "http://xp6.org/iframe.html";
1 z1 w" F% k" T I R1 T: g - top.location.href=self.location.href;
9 K0 v' B( ]3 t6 R- h. ` - }
. F& {( m4 m& e8 u% f - </script>
复制代码 + U1 s0 U# T4 n! f& n- x5 Q
将上面的代码复制到需要屏蔽页面<head>里面加载。/ d2 C% a. D0 W4 k8 B
制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。. C; V2 j" B% [- z
原理:( W$ Q4 c. X: R0 ~9 i
第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。0 [! p! Y/ P* v2 M& r# }% I
第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。
4 T v% ?0 {7 u/ w3 {( Z目前测试这种方法没什么问题。) y7 z) @# H, y
f: K5 U: Y# ^, [/ } |
|