如何防止自己的网页被别人iframe嵌入

happyxp · 发表于 2020-11-16 17:30:36

前面说了如何阻止 iframe里引用的网页自动跳转，已达到iframe页面的目的。
这次讲一下如何防止自己的网页被别人iframe。

1、这些方法都可行，但不是太可靠。

<script language="javascript">9 u& S, a4 B m h( ]
if( top.location != self.location) top.location.href=self.location.href;3 V$ ~9 k( s3 N$ T
</script>

复制代码

或

<script language="javascript">7 }5 l, p* I- V. ~( D4 ?
if (top.location != location) top.location.href = location.href;
, c2 R& ^, n6 _. h9 E8 c5 k$ H
</script>

复制代码

或

<script language="javascript"> k4 _& F" e& `9 Q: @# P
if (top.location != self.location) {top.location=self.location;}
4 X% }$ N# y7 F9 F* ~+ ^# J
</script>

复制代码

或

<script language="javascript">' H$ h3 k( m7 k6 p
if (top.frames.length!=0) top.location=self.document.location;- u5 `3 b: |8 I, @0 t8 [- I3 A
</script>

复制代码

不可靠的原因：
当别人用如下类似代码做IFRAME嵌套调用时，就可能躲过你的页面的javascript代码。

<iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
6 W& H! t* h% q# j
<script language="javascript"> ! R( o4 Y3 f8 z3 g/ Q7 X
var location="";
, U( d8 V- ?7 _% f5 Q0 q! \
var navigate="";+ k5 V" V2 M; X4 }5 r0 m
frames[0].location.href="";8 G1 y0 s w/ s) e* s
</script>

复制代码

或

<iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">

复制代码

或

<script type="text/javascript" charset="utf-8">, A& U% }4 X" m: k/ K7 A) j
document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');$ R; g; A9 m; Q* a' L5 _! K
</script>

复制代码

2、代码层次的屏蔽，方法可行，但不是很人性化。
Meta标签方法

<meta http-equiv="X-FRAME-OPTIONS" content="DENY">

复制代码

PHP方法

<?php header('X-Frame-Options:Deny'); ?>

复制代码

Apache主机方法

Header always append X-Frame-Options SAMEORIGIN

复制代码

Nginx主机方法

add_header X-Frame-Options "SAMEORIGIN";

复制代码

.htaccess方法
在网站根目录下的.htaccess文件中中加一句

Header append X-FRAME-OPTIONS "SAMEORIGIN"

复制代码

IIS方法
在web.config文件中加

<system.webServer>
4 s/ N& c# a, G1 n$ T
... d: _8 B9 a) Q: E$ n
<httpProtocol>+ S, E5 q3 n9 R- ~9 m, L
<customHeaders>2 Z7 _% f6 M" I6 t w+ ]
<add name="X-Frame-Options" value="SAMEORIGIN" />
2 E+ x* R" ~! A) _7 I# ^
</customHeaders>
% ^. z# f* x8 h8 {0 r7 n6 g# n
</httpProtocol>
! D2 Z* i# w0 r: }7 h
...
9 Y7 l5 v4 V1 y/ }
</system.webServer>

复制代码

之所以说不人性化，是因为这样操作之后，别人iframe会显示服务器拒绝之类的信息，虽然是屏蔽了，但是自己网站也不能宣传了。

3、推荐解决方法。

<script language="javascript">
5 s9 ]* ^8 [/ S! P, W; z/ x
if(top != self){
4 o. ~8 T" a6 j# a4 A1 P
location.href = "http://xp6.org/iframe.html";
$ Q+ _& T j2 l9 v, l
top.location.href=self.location.href;( w+ K, T2 h* F; ]7 l6 w
}
9 Q- Z% k( O0 n" X: n
</script>

复制代码

将上面的代码复制到需要屏蔽页面<head>里面加载。
制作一个iframe.html页面里面放张网站宣传图片，加个链接，放到网站根目录。
原理：
第一步直接强制访问咱自己设定的iframe.html页面，如果网站禁用了JS跳转，那么执行到这一步就结束了，这样即使他们iframe了咱的网站，看到的只是咱的图片宣传页。
第二步，如果没有禁用JS，那么会接着执行top.location.href=self.location.href; ，然后跳转到我们的网址页面。
目前测试这种方法没什么问题。

[网站] 如何防止自己的网页被别人iframe嵌入