搜索
查看: 14403|回复: 0

[网站] 如何防止自己的网页被别人iframe嵌入

[复制链接]
发表于 2020-11-16 17:30:36 | 显示全部楼层 |阅读模式
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。3 q  U) p, \. ^6 ^, [3 T
这次讲一下如何防止自己的网页被别人iframe。+ u3 L! e0 O7 u" \, m7 V
& O0 p% E0 ^0 }/ p0 c% [
1、这些方法都可行,但不是太可靠。5 m* X1 E' j( A7 R0 i/ @& q
  1. <script language="javascript">
    * u4 h2 w7 Z" A& X: s6 Q; F& n
  2. if( top.location != self.location) top.location.href=self.location.href;# `5 X0 h! J. r+ d+ m! |2 O
  3. </script>
复制代码
1 l6 m: o6 j3 w7 T2 D
  1. <script language="javascript">
    8 `; R. d" u) g$ O, C& j
  2. if (top.location != location) top.location.href = location.href;. m: z" L" B( e8 `& d8 q$ ]
  3. </script>
复制代码

% O! X: u, s* W
  1. <script language="javascript">
    * ~2 I; Q" L0 w- B
  2. if (top.location != self.location) {top.location=self.location;}
    4 O. }3 x, d. Y6 @
  3. </script>
复制代码
* s0 j8 L  ?/ f) s$ I9 v5 k8 |
  1. <script language="javascript">) ]% j7 G5 q; y+ v2 V: Q- S
  2. if (top.frames.length!=0) top.location=self.document.location;9 U" d1 v/ e6 E) r: z6 ]3 t& R0 H
  3. </script>
复制代码
不可靠的原因:
# l; T# H8 T: X6 d  m* R1 B当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。
, A7 q1 U4 E; Z; {; T" l
  1. <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv"  framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
    9 [  j$ l; }% E1 A- t7 y  Y( Q3 E
  2. <script language="javascript"> 2 a! b+ z; y: e0 P, T
  3. var location="";
    $ h' f" P! `, ^% |8 G3 r
  4. var navigate="";
    4 i! V: F8 r) M) c: ~
  5. frames[0].location.href="";* S& A# E2 }' x! y% o) n5 a; t" K
  6. </script>
复制代码
! `. f) O4 ~! }7 g5 R* l+ l: r2 x, q7 Q
  1. <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
复制代码
8 j  N, ~. }* p7 u) _
: s9 e5 p& V  s* t: B
  1. <script type="text/javascript" charset="utf-8">
    3 T4 D! Y! f& H8 Y4 y
  2. document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');1 T8 O8 P8 B$ Y1 r5 x: Z7 s
  3. </script>
复制代码
2、代码层次的屏蔽,方法可行,但不是很人性化。2 W5 Y4 D. m- K- u$ S9 s
Meta标签方法
9 N* h3 b) `+ w/ |
  1. <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
复制代码
PHP方法; m  t) Z0 S3 ?: u" A! l+ n6 b- q: w
  1. <?php header('X-Frame-Options:Deny'); ?>
复制代码
Apache主机方法
, h5 `. ~  ^5 p( {& G# m" s) E
  1. Header always append X-Frame-Options SAMEORIGIN
复制代码
Nginx主机方法. k% _* {. `3 o7 H2 f
  1. add_header X-Frame-Options "SAMEORIGIN";
复制代码

; o1 F# _$ ^6 n7 E5 _.htaccess方法! H2 m7 C: }* s
在网站根目录下的.htaccess文件中中加一句
! ~) d3 p& [% {2 _+ z/ X: p
  1. Header append X-FRAME-OPTIONS "SAMEORIGIN"
复制代码
: h2 H, p! g9 _  X8 N& A7 X
IIS方法/ p, ]1 Z9 W* G3 S+ u& p. W, G0 u
在web.config文件中加
  1. <system.webServer>
    4 {# d2 K! |5 [1 X
  2.   ...
    4 C* Y0 ?) j7 M6 _) q. k
  3.   <httpProtocol>
    0 Y' z" ]' w+ R, ^" d/ [
  4.     <customHeaders>, N% @+ e7 }! D9 g! `  E4 B
  5.       <add name="X-Frame-Options" value="SAMEORIGIN" />      5 e; y% ?$ k3 H7 t9 N9 y
  6.     </customHeaders>    ) S" k+ t! v! N, G) ~* l, ~- b  g
  7.   </httpProtocol>  % g  q+ o( Q# d- d2 G% G. K3 R! v
  8.   ...7 U! K+ h: x+ \2 D+ R
  9. </system.webServer>
复制代码

) D  P. t! a' l$ }( h" n6 J  l之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。
7 Q( m: h$ a( x8 [
9 V% f# Z+ S9 i3、推荐解决方法。
+ e5 R$ G2 M( L* O- P6 x% L+ N  m
  1. <script language="javascript">  : b& \  S* B" `- g) }" o$ e% M
  2. if(top != self){1 Z* @( R' Q' j9 U: ~- J7 z, ]  Y$ G
  3.     location.href = "http://xp6.org/iframe.html";  
    9 v# T$ }4 M/ ~1 q; p% }' n' W7 p+ o( O
  4.     top.location.href=self.location.href;$ M+ \! t' w& F# k! z2 O
  5. }  : h' c7 H: L# f. @+ ?
  6. </script>
复制代码

! z1 v" M( y2 w& P; Z$ G; q. ?将上面的代码复制到需要屏蔽页面<head>里面加载。
9 |  d! o: p8 s3 x: Q2 _0 M制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。: o2 _$ O# v& G. d1 P
原理:) }0 z: m9 `! U% [
第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。9 p1 v! D+ O. t) ?; C. n8 j+ ~
第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。7 {: J: p0 l. A
目前测试这种方法没什么问题。  `2 h0 I. D! B7 R" x
5 p! W. L( n: n
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册帐号

本版积分规则

热议作品
精华帖子排行
精彩推荐

虾皮社区,成立十年了!

站长自己也搞不懂想做个什么,反正就是一直在努力的做!

Copyright © 2007-2019 xp6.org Powered by Discuz

QQ|Archiver|手机版|小黑屋|虾皮社区 鲁公网安备 37021102000261号 |网站地图
返回顶部 返回列表