|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。
3 n I+ u7 e2 B5 F这次讲一下如何防止自己的网页被别人iframe。
5 l6 G2 i8 k# _7 w( F5 R. P9 ^- e) c+ i0 t
1、这些方法都可行,但不是太可靠。* P, j ^! c! `9 j# u0 A1 Z. \
- <script language="javascript">
' `, A1 ^* T+ ` - if( top.location != self.location) top.location.href=self.location.href;( E- [" r4 O+ z
- </script>
复制代码 或
8 q/ [; ~' P7 A7 i: w K- <script language="javascript">9 [ e% t* Q p' E2 g( z$ y1 E
- if (top.location != location) top.location.href = location.href;
$ I5 f- }9 |: a! z$ v5 U' x - </script>
复制代码 或
0 [) i! k% q- _% f& y" h3 C9 p- <script language="javascript">
3 f# n! k- B2 f/ |2 R - if (top.location != self.location) {top.location=self.location;}
* p: Y4 M/ G8 ?4 Q' X - </script>
复制代码 或6 N" u" U4 F" X6 ~9 v
- <script language="javascript">6 M; L% m( o, K4 R! y7 f
- if (top.frames.length!=0) top.location=self.document.location;3 `" r0 O# j* e2 p: c6 k& v+ r
- </script>
复制代码 不可靠的原因:' S8 p( x/ B+ g: E. x* Y
当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。
% E1 v/ |' k* _4 ~, F8 r) [- K- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
5 {8 e' x- j, o4 ^0 ]3 q3 `7 ? - <script language="javascript"> - x) a$ r6 C* Q* K
- var location="";9 [* L0 b* G X" {
- var navigate="";
) V1 ]5 w1 X- i" A: g$ F' V - frames[0].location.href="";( A: c& m' {; E, t
- </script>
复制代码 或: {& i. ]5 Q6 C u7 f- U
- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
复制代码 或
2 y6 x3 W6 N D/ c7 J0 o( n( ~6 g' V! f ~( Z8 U e& i
- <script type="text/javascript" charset="utf-8">
o. k5 Z. h" t - document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');
5 t! W* D/ r8 E( g4 w/ |5 H' z - </script>
复制代码 2、代码层次的屏蔽,方法可行,但不是很人性化。
! k1 R; S& j6 |6 fMeta标签方法
" V+ M7 w( D9 K& c: ?, v1 y& B- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
复制代码 PHP方法1 W: B% E& f% r" a$ `
- <?php header('X-Frame-Options:Deny'); ?>
复制代码 Apache主机方法# Q: L3 ?$ g7 x! h
- Header always append X-Frame-Options SAMEORIGIN
复制代码 Nginx主机方法, T2 a' c5 C+ T2 v/ I& ]
- add_header X-Frame-Options "SAMEORIGIN";
复制代码 ) \9 [, j- J; o1 a. S/ y% p
.htaccess方法
& C0 a# [3 p M) [在网站根目录下的.htaccess文件中中加一句
3 J; H7 i( ]. b8 B$ e' _- Header append X-FRAME-OPTIONS "SAMEORIGIN"
复制代码
, @8 ?6 i& S: \IIS方法
* O; h I3 ~$ A) C% Z在web.config文件中加- <system.webServer>
5 k6 N* Q# j- b) f' E/ v# D/ Z - ...
2 Y' z+ G# Q( T! G; }$ X& F3 r F - <httpProtocol>/ u0 O, U8 k6 ~4 J+ I; z( X
- <customHeaders>
3 m' J6 P w( O+ ?- s% }. e - <add name="X-Frame-Options" value="SAMEORIGIN" />
# K3 F- i7 s2 S& u3 q - </customHeaders>
, s% u' d" G$ a* u2 i4 ` - </httpProtocol>
! q- W* j2 e$ m. U1 H n/ Q - ...3 A8 @. l3 L# d4 c+ K
- </system.webServer>
复制代码 ( Y. g6 S' l# Q
之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。( `6 x0 T; Z' {5 U" K( [- N s
& f0 v8 V- T5 e" U" T8 n3、推荐解决方法。5 n, w7 p; H* k9 D2 g) T/ k! C
- <script language="javascript"> * a$ c1 X4 w/ R5 P
- if(top != self){
3 v+ t* d# N9 [' V3 D5 x a' v - location.href = "http://xp6.org/iframe.html"; / R3 s3 t" F: k! U/ n; X
- top.location.href=self.location.href;2 f2 P4 q+ s2 D7 v1 W) ~
- }
7 U+ f* R3 E/ U- ^4 d+ w( i - </script>
复制代码 9 x. I3 _7 E; W% P% E) U; o2 X
将上面的代码复制到需要屏蔽页面<head>里面加载。
# V& W. P3 X& _$ ^- X制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
. F$ U. {# z6 ]; ]原理:
. T( P/ V4 f" d. u第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。/ [0 \2 T7 C6 @ c7 s% a% k
第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。
+ G( ` ]" T7 v' d- A7 i8 J目前测试这种方法没什么问题。8 r/ ]# o- T9 D
+ o& k2 Q* |7 t7 T
|
|