|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。
7 Z1 j# M0 m( P+ d8 N4 e+ N这次讲一下如何防止自己的网页被别人iframe。
; }3 I1 |# Y2 X2 u3 P: L" I7 E, s$ T) |7 q
1、这些方法都可行,但不是太可靠。
8 i4 N% M) A6 J$ a% }" n! m- <script language="javascript">7 h" |. y7 B1 V. _9 i& e) ]
- if( top.location != self.location) top.location.href=self.location.href;
- w. j) A# A+ k - </script>
复制代码 或
5 q) ]2 {/ {. v- <script language="javascript">/ A" k) C$ g/ J* T! b
- if (top.location != location) top.location.href = location.href;
9 L4 W. V2 ~6 z J/ [ - </script>
复制代码 或$ ?# d; \' g" ?0 V
- <script language="javascript">& Z! B9 L @2 t( p/ [5 ^) {
- if (top.location != self.location) {top.location=self.location;}: d( q2 ?* T3 w5 `7 j( E# [
- </script>
复制代码 或8 b% k* V! k! t) L3 i' M% E m
- <script language="javascript">
8 U) u! h' Z [( v - if (top.frames.length!=0) top.location=self.document.location;
2 e# ?6 i1 r) r! H B - </script>
复制代码 不可靠的原因:3 I& L5 S8 {# n8 \
当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。
5 P3 k4 O3 X& _! U- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
! H: k6 {7 q# g+ \ - <script language="javascript"> $ [6 P: Q$ B/ {9 v9 U& v6 \
- var location="";
, b( P( l# ]. e# l$ T - var navigate="";
\7 a5 Z0 ^/ V - frames[0].location.href="";4 ]1 w8 N& n9 ~5 r* x: p' ~
- </script>
复制代码 或6 n. @6 B% A1 L! v8 F4 L
- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
复制代码 或 }! d/ O$ q* c1 w
0 ~* z: J% f# n2 V( u; _" R
- <script type="text/javascript" charset="utf-8">
8 j" C& H" N% f - document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');, L; ?* e6 j4 p* f3 J3 s. X' X
- </script>
复制代码 2、代码层次的屏蔽,方法可行,但不是很人性化。
- T3 e& q. X$ WMeta标签方法7 m) p) Q) E" W" P% N
- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
复制代码 PHP方法1 h) e' Y8 h* V4 ~$ f: C1 A
- <?php header('X-Frame-Options:Deny'); ?>
复制代码 Apache主机方法- Q0 d# L. v3 y( T. q
- Header always append X-Frame-Options SAMEORIGIN
复制代码 Nginx主机方法0 n) U K- r5 T6 j
- add_header X-Frame-Options "SAMEORIGIN";
复制代码
e, a9 R9 W1 ?2 J8 E.htaccess方法
" J" I1 G4 `! {0 A- Z# h% i在网站根目录下的.htaccess文件中中加一句+ O9 e* u+ ?0 t' S
- Header append X-FRAME-OPTIONS "SAMEORIGIN"
复制代码 5 C' e9 L5 i) ^' F0 R
IIS方法
# {2 s& c' u, D1 a& F. k4 v# Y在web.config文件中加- <system.webServer>9 E, ~; X$ Z3 ?5 v5 |5 A
- ...
' c# w$ i# G" ?' j$ }. v - <httpProtocol>) O) Z4 u/ u/ b, m2 A8 a
- <customHeaders>* t! m$ B. m, u2 V. k- H e
- <add name="X-Frame-Options" value="SAMEORIGIN" /> - Q: I: _, k, D; h: j+ J
- </customHeaders>
! ^5 c1 f' ]# R* n0 A q) z% D$ f2 P* C/ Z - </httpProtocol> . P+ a! t1 i# G
- ...# [7 ^( C3 V: [# C( R% j& @
- </system.webServer>
复制代码
/ u6 }8 Y' j4 k) O" U) g, X之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。: T: q1 @& [& D7 o5 d" P
9 O2 w- S2 d' e( f; f5 |3、推荐解决方法。1 t- i$ t g/ N3 I$ d
- <script language="javascript"> . I* f5 y2 S7 N% C y1 S- a
- if(top != self){
! G# B1 X7 F; n8 M' \6 J - location.href = "http://xp6.org/iframe.html"; ) D$ S1 s6 [/ g1 T& d# b3 L# S
- top.location.href=self.location.href;: K8 t8 D: b7 V
- } 4 t; c ]5 f2 n5 q H4 n: |, \
- </script>
复制代码 $ J4 T H$ F0 U! r0 Y4 C
将上面的代码复制到需要屏蔽页面<head>里面加载。
" q0 q9 E! q- b: G制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
$ [2 n2 l% r* s8 G' R7 y原理:' ]" P7 L# G2 O ]$ R) d
第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。
. a, Y; H- s9 s' g7 d* M第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。
, Y; A) ?5 g6 f2 R' P, w! g目前测试这种方法没什么问题。
6 s0 H7 P& H& X3 x+ @# p$ c R! Q5 X. B
|
|