|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。
: `# K, F% s7 i( i: N I这次讲一下如何防止自己的网页被别人iframe。4 g# b- d. G* n: R$ U! i5 I3 A' P
3 m* F8 J. M( [. b4 j1、这些方法都可行,但不是太可靠。$ S% x- ?1 `$ D# i( ?2 y
- <script language="javascript">- G$ @6 G3 X1 `! X5 n% j
- if( top.location != self.location) top.location.href=self.location.href;' d Y! E {8 b$ z2 o1 Z3 ^8 @
- </script>
复制代码 或
6 E1 b# O! G3 A" y- <script language="javascript">" c- e. a+ @7 g5 |1 j
- if (top.location != location) top.location.href = location.href;
: l" {+ z8 J( {+ S7 `& M - </script>
复制代码 或1 i! L+ l1 L4 j4 Y
- <script language="javascript">
3 b e$ O, }" M0 q& N T* K - if (top.location != self.location) {top.location=self.location;}
" E' `' X6 v9 Y6 g; A8 y% m - </script>
复制代码 或0 m0 j, s' C& a$ q- [* d1 ~. C2 ]
- <script language="javascript">
' o3 V2 e9 g1 ?) A4 n - if (top.frames.length!=0) top.location=self.document.location;! k" z, G l% x+ S' D! U" o
- </script>
复制代码 不可靠的原因:4 L2 q% c: m1 k& g- \. F
当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。
3 h0 f+ v1 q2 P6 R" X K; _/ A- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>1 g3 n% {5 I: [; L9 ~
- <script language="javascript"> ( i0 p/ I* R# a3 j& ~
- var location="";- `9 U. k! f1 S/ x1 z H' J
- var navigate="";
H# t+ v5 ?: L0 K( S6 R2 r2 F - frames[0].location.href="";4 ^! A5 i4 E9 j$ Z; L. k$ U9 X' _
- </script>
复制代码 或, r* V( U. G6 q, t' B6 O- f
- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
复制代码 或
& {5 ~4 q% D7 _! q3 l
( @8 A$ K& S K& Q- <script type="text/javascript" charset="utf-8">+ \$ s6 W$ W, j6 i4 M5 [" Y9 W
- document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');
( a) K$ Q) o1 ^& t8 m# b" D - </script>
复制代码 2、代码层次的屏蔽,方法可行,但不是很人性化。
8 z: r0 }9 b4 kMeta标签方法& q+ ]* p5 T. _5 w
- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
复制代码 PHP方法
% [0 I4 j7 p* T* [- <?php header('X-Frame-Options:Deny'); ?>
复制代码 Apache主机方法
# m* a9 m$ R4 t- Header always append X-Frame-Options SAMEORIGIN
复制代码 Nginx主机方法
$ t- x/ k o q) Y2 B7 O- add_header X-Frame-Options "SAMEORIGIN";
复制代码 # Q/ Z7 i7 Z' M, q& A) T3 ?
.htaccess方法2 z: N5 O Y& j. H0 V' m3 V s, `2 o
在网站根目录下的.htaccess文件中中加一句2 h+ ^2 v( c! p! j# v8 M$ x
- Header append X-FRAME-OPTIONS "SAMEORIGIN"
复制代码
- `2 \* X& y3 g5 q' HIIS方法
& s6 |% Q7 _9 ] W3 x0 x0 H在web.config文件中加- <system.webServer>3 R1 B4 h* g4 b! y: [
- ...4 ?5 [. [# g1 |- F7 d* I5 `( E
- <httpProtocol>
8 H% f0 \! D- d - <customHeaders>0 F' T* W Q! N5 ~& d# T' `# X
- <add name="X-Frame-Options" value="SAMEORIGIN" />
3 P2 p, T: {% c- H7 w8 ` - </customHeaders>
: B3 }, M/ c N% z3 d& Y, m& R - </httpProtocol> ) J7 r5 u% X0 F! r
- ...! @9 X+ T5 z0 S0 G+ ]
- </system.webServer>
复制代码
j! i3 A3 B* C- n- A, Z之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。; L1 a$ H, b, R0 g6 N# z
0 z, v# [2 Z5 C
3、推荐解决方法。
3 W- W! G- v3 _' G! ?9 ?0 p$ ?( \- <script language="javascript">
$ Q2 {# u" m/ F4 R! O- k - if(top != self){: z+ @0 o% M( i9 ^2 p' p6 G
- location.href = "http://xp6.org/iframe.html";
* }. t; x! W& G, m S, ^ - top.location.href=self.location.href;& Z4 U, a x. H6 _! u
- }
" v; r* z* L1 Z; e - </script>
复制代码
+ W8 M4 i+ j7 n& o# K7 J8 e将上面的代码复制到需要屏蔽页面<head>里面加载。. V6 G. b* P# ?
制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
3 I" k, v% W" g7 M4 U原理:
, H7 t) T, B% {第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。
1 s# q9 P! E/ U3 ~第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。
) e- n& h: y4 `. u2 t" l& D目前测试这种方法没什么问题。
7 f L. t. h+ ~& g" S
- @; t/ K: _' J4 ^. z1 H. Z" e |
|