|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。/ \/ ^( L, [9 X+ U
这次讲一下如何防止自己的网页被别人iframe。0 Z3 I ~- |% L8 G, t" J# l7 G
. _! |% W% [8 r. j
1、这些方法都可行,但不是太可靠。
3 `) a/ G7 U8 x0 M: c, _4 F5 L- <script language="javascript">
/ Z/ K8 r8 S6 G0 R2 P5 X - if( top.location != self.location) top.location.href=self.location.href;) ^4 K: S+ E' J1 W
- </script>
* J8 y& O9 s; z% N: D* u' v- <script language="javascript">
9 T& q# G& t u2 [( p F( M* T# f! R& w4 J - if (top.location != location) top.location.href = location.href;' Y8 [/ F7 d% Y ?. e: F
- </script>
- <script language="javascript">
; {' o) r0 {6 E# H5 X" w j. ^0 i - if (top.location != self.location) {top.location=self.location;}
/ A) A6 a# t& l7 b - </script>
2 P2 a( y& v* P* N- <script language="javascript">( |5 A0 x+ a, ~$ B" o; C3 x0 m
- if (top.frames.length!=0) top.location=self.document.location;" T+ q5 k& T" i% K2 Z. z
- </script>
- z) Q9 i! @8 C8 W# Q" Q当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。3 {0 P, u1 ]! e4 G. D5 l; w( z6 I
- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
4 J4 w/ A( u. E* S - <script language="javascript">
3 G7 |! a' `1 v( \ - var location="";
; X( k/ y0 O) y, c% Q6 \ - var navigate="";+ ~& E- h% Q! y; S' y6 O
- frames[0].location.href="";
1 T/ R' p8 C4 H/ C0 r+ b - </script>
- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
1 P' q" O6 `' t x4 {3 B. R# R
( d% O- N1 p6 K0 M- <script type="text/javascript" charset="utf-8">4 I7 w. l8 @: B6 ?( d7 i; R
- document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');
7 x# j/ N% i. p; y" P ^ - </script>
0 j* r- [' P9 {! GMeta标签方法
* w2 S5 P0 j' [0 n6 W% d+ J' B- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
; p9 D' a( U7 t- <?php header('X-Frame-Options:Deny'); ?>
- Header always append X-Frame-Options SAMEORIGIN
" F8 s8 f6 b' I* Z- add_header X-Frame-Options "SAMEORIGIN";
.htaccess方法
! o& t6 @8 g- W3 ]8 R, ]在网站根目录下的.htaccess文件中中加一句8 [( p$ F1 C7 F/ `
- Header append X-FRAME-OPTIONS "SAMEORIGIN"
6 \9 F* d2 k3 E. |& @) B& Y+ _" VIIS方法, ~. f) {( {8 Y0 i
在web.config文件中加- <system.webServer>: S; n% U8 ?& D
- ...
+ Q8 D: `6 d4 p, r( W - <httpProtocol>2 ~6 @4 O E2 I# w* O* E' Y- G
- <customHeaders>
( f' L# s' U6 R9 k - <add name="X-Frame-Options" value="SAMEORIGIN" />
5 Z+ {7 T; g% }2 A# B9 r - </customHeaders> * o" A" T0 N" I
- </httpProtocol>
+ Y3 v+ Z; k3 _) \, q/ q5 c& U& b - ...
; L" l8 K7 ^& O - </system.webServer>
5 W( {+ }. ^; @8 s9 w之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。% O7 N3 ]% ^# J' r, K
* u1 h4 z% O" A, k8 Y+ a) V
3、推荐解决方法。, |4 e! T4 w- R. `, p7 x
- <script language="javascript"> 1 B) e7 i3 d! t3 e8 F* E* d3 m
- if(top != self){
9 F3 U" Z" S# W" ]$ Q& Y: F - location.href = "http://xp6.org/iframe.html";
( }3 ^, ~9 ~# X9 P* h7 [) | - top.location.href=self.location.href;3 l H$ S2 y3 B8 F g2 N7 u
- }
5 P6 h' V* b6 S& s - </script>
将上面的代码复制到需要屏蔽页面<head>里面加载。
* c* F' H: l( X' t2 S) f制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
( p; f6 G" Y. k" W. d# C原理:
% L: F: w4 G4 E9 X% x& I Y第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。
9 W7 [6 x) F* I# z( w3 l2 n0 Q第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。
Z- k5 T( B8 O6 Z/ \8 j! N目前测试这种方法没什么问题。6 r/ H: p3 z0 W& |' V
& q- Q+ j V5 o- ~0 e: \ |
|
发表于 2020-11-16 17:30:36
千斤顶
显身卡
鲁公网安备 37021102000261号