|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。# h8 w! S. o" Z9 A6 n" T: a
这次讲一下如何防止自己的网页被别人iframe。( R0 D% K* b' r
% a- C! v0 E6 Z; n9 {, K3 h
1、这些方法都可行,但不是太可靠。5 @% i* {. R, \
- <script language="javascript">) g) ~! |/ r. H3 K( E
- if( top.location != self.location) top.location.href=self.location.href;
4 b: i) P4 L1 X( @* ~+ {( Y6 q - </script>
3 z3 ^- ~! F8 Z' t. w/ G4 |- <script language="javascript">6 N( X$ E* c! z' t9 Y+ c4 I# x h; g
- if (top.location != location) top.location.href = location.href;1 m5 D( c' n7 m: \8 q, h8 x4 ^
- </script>
. h1 k2 L; \; u" {, r$ [- <script language="javascript">- e( Q- g# S \2 O4 w/ v; p
- if (top.location != self.location) {top.location=self.location;}
+ e5 m( i4 V$ N; {9 q% n - </script>
, q$ ^# i. d" y6 u- <script language="javascript">
/ P' s5 q2 W9 Z. }: ? - if (top.frames.length!=0) top.location=self.document.location;7 D7 ~. `) l8 v* g5 B
- </script>
# h, b1 S; d% O3 V* z3 [当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。
; L+ ^2 A9 z, |5 ?! S% Y- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
9 l/ i- E) ?/ z& U2 u7 ^1 D6 X - <script language="javascript">
8 A% t( X% z& p( B; \ - var location="";$ [9 y l$ j6 Q9 v% q7 m' `' B; K
- var navigate="";
; t O% Z( ?; V4 ]/ V - frames[0].location.href="";
4 ?4 e7 v& s: w+ ~ - </script>
- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
1 U5 ~( \- S; h5 m+ h8 X( _
& _1 |* z4 D+ H" B9 P) }- <script type="text/javascript" charset="utf-8">
2 c* V2 @4 I% [; X, n" Y - document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');8 M2 Q( O% B. w' t# e( M
- </script>
6 `) E; H/ j! l& ZMeta标签方法
( @* B4 g- _9 D- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
- <?php header('X-Frame-Options:Deny'); ?>
- Header always append X-Frame-Options SAMEORIGIN
U' s6 K3 y% O$ U2 V/ e, ^- add_header X-Frame-Options "SAMEORIGIN";
.htaccess方法. g0 Q' V$ R7 r) F
在网站根目录下的.htaccess文件中中加一句
, F1 v" i T8 s5 {- Header append X-FRAME-OPTIONS "SAMEORIGIN"
% b- {1 r- d; d: U `IIS方法3 V v1 J1 y. g$ s [
在web.config文件中加- <system.webServer>6 t! l. {$ \3 u( \' f' @* ~/ Z4 z
- ...* B' h' v1 _% d& A) u# W& u
- <httpProtocol>
6 ?5 P/ p7 d3 Q' {6 ~6 ^ - <customHeaders>
6 O+ _3 X: G z6 q3 B - <add name="X-Frame-Options" value="SAMEORIGIN" /> : M3 g- w$ d: n+ A/ ~5 o, s9 _
- </customHeaders>
, [; x2 E2 H3 { - </httpProtocol> 5 q- C8 x {4 w" ~# q
- ...6 V7 c6 [" ?& X7 @, H
- </system.webServer>
之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。
0 ?; `0 c& J! n9 i- K3 h
% W4 C0 Y U$ q0 {9 {7 _3、推荐解决方法。- [$ S4 k& z7 v& y% T
- <script language="javascript">
! p! T% O G2 Q0 [6 a: ]4 g; H - if(top != self){( A0 I* `' X- I- T
- location.href = "http://xp6.org/iframe.html"; 2 ?6 N2 N6 j! D& j4 i, k i
- top.location.href=self.location.href;
: G4 i4 _7 {/ K, w - }
* O* x$ ?, r& ~. N- E" h - </script>
8 W" F6 n3 g! I1 `2 x" A7 P% A将上面的代码复制到需要屏蔽页面<head>里面加载。/ I) U& \: j' V# Y
制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
7 A# R3 W. y0 i0 I9 _/ x原理: w/ D" i+ k1 P
第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。
' b$ B2 R1 @; N( z: G第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。6 R$ A4 t3 s1 ^! E& o/ g
目前测试这种方法没什么问题。
6 E& r" Y! d0 X4 r3 L& R9 ?$ L9 a9 U) F3 v2 S6 S. P. K3 Y
|
|
发表于 2020-11-16 17:30:36
千斤顶
显身卡
鲁公网安备 37021102000261号