|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。
3 D8 _( G C" b0 b& \/ w这次讲一下如何防止自己的网页被别人iframe。
. ^5 I; R. K1 [$ U) ?$ t7 e/ j
9 `) X# n0 P6 Z1、这些方法都可行,但不是太可靠。
; b/ }. b9 S+ ]" B2 w- <script language="javascript">
+ w1 \8 s% E* r& _ - if( top.location != self.location) top.location.href=self.location.href;0 U; U2 A4 {" w
- </script>
复制代码 或* O- T5 C' r6 b- \" C7 h
- <script language="javascript">
# K. j* Q$ _. ~, K3 f - if (top.location != location) top.location.href = location.href;
0 D# A) |, A+ Q; k1 o/ l2 }, |" _ - </script>
复制代码 或
, u9 V+ W' h( `$ R, e X- <script language="javascript">3 p6 e/ }9 ^( L
- if (top.location != self.location) {top.location=self.location;}& {. J9 d* I$ o/ w4 T6 U, v w
- </script>
复制代码 或+ t3 W1 J, ]2 T4 r3 Z
- <script language="javascript">* v7 j8 k/ q& |9 u
- if (top.frames.length!=0) top.location=self.document.location;
6 Z+ r; N2 e7 D; k$ ` - </script>
复制代码 不可靠的原因:
0 D9 u q7 p" A6 G" B, O$ f当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。: D9 d" {1 c0 ]. E- J6 G
- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>1 M) j* J3 N+ @2 T
- <script language="javascript"> 7 C7 A( J7 [+ w) I u1 {3 g) O1 n/ A# t
- var location="";2 v2 ?( T8 L$ R2 b3 f; S1 p3 \1 W
- var navigate="";
0 f1 ]( n' ~/ e0 v2 ~ - frames[0].location.href="";
4 v K( Z) k! _8 \- Z - </script>
复制代码 或
/ i+ k" G8 E2 J; ^8 B+ R- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
复制代码 或' g1 |1 o$ V' _1 c
% ?+ w1 L ?- {5 N+ M- <script type="text/javascript" charset="utf-8">8 v' D& l7 S5 Q0 K
- document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');
8 n8 A0 g! e. H - </script>
复制代码 2、代码层次的屏蔽,方法可行,但不是很人性化。
4 a$ b: @8 H0 V5 v) BMeta标签方法2 G- m4 b! F' S# y7 D! V
- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
复制代码 PHP方法3 A9 k/ [1 f5 j: D$ y
- <?php header('X-Frame-Options:Deny'); ?>
复制代码 Apache主机方法' X; B* y" F7 m4 o+ @/ T2 a( a4 R
- Header always append X-Frame-Options SAMEORIGIN
复制代码 Nginx主机方法
- m* c: `6 O* y" a* P# \- add_header X-Frame-Options "SAMEORIGIN";
复制代码 % I; j* U# H ^! B
.htaccess方法& ?& P; W2 w* j( v h
在网站根目录下的.htaccess文件中中加一句7 F# f) N$ j4 t1 x1 {/ i
- Header append X-FRAME-OPTIONS "SAMEORIGIN"
复制代码 0 U* X: V. L H# ~3 v6 Y% Z$ Q
IIS方法! l* D: w3 H- l. Z" ?0 w
在web.config文件中加- <system.webServer>
' d" q/ r* ]+ ?& x) Q7 f( O - ...
/ M1 p+ d, E( X6 \ - <httpProtocol>% M" R; R. w, _: I- i
- <customHeaders>
" i* N" y6 o9 ~/ H0 J& {' P& { - <add name="X-Frame-Options" value="SAMEORIGIN" />
* o8 S- b c; K2 g& H$ g - </customHeaders>
: t! f0 |$ }7 X/ o - </httpProtocol>
$ p' k* L( ?/ O: y8 W - ...
5 I9 B$ Q* w( Y) P, Y( v - </system.webServer>
复制代码
$ |' ?& P" O; _9 c- t* C之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。
9 W6 J& N+ z& d
[" Y6 h7 V2 k+ k6 l9 G3、推荐解决方法。0 L" `5 P6 ^& W" t8 h
- <script language="javascript"> 0 K/ `% ~6 Z( L: p+ y* B
- if(top != self){
) q" t; b) c+ p% S& P$ b+ b - location.href = "http://xp6.org/iframe.html"; - i: E* n i4 w4 v7 H( @
- top.location.href=self.location.href;$ I$ F( m3 ~0 N& d4 _; t& O4 U
- } 2 ?! R6 F& e' }# T2 e) F
- </script>
复制代码
9 _* F5 m: \* \4 W将上面的代码复制到需要屏蔽页面<head>里面加载。
6 q: N9 [ i9 A: G6 P9 A2 v- \制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。* y$ P- ? \, k; O& d
原理:
+ V6 m& |2 H, `' F第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。
* X& y& B' f& f+ O/ I* m0 q第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。
, _" t8 l1 [0 X+ F目前测试这种方法没什么问题。3 j1 D( f* u. x! t& I1 N$ l6 w
7 M4 @9 N: a; Q' M" w
|
|