如何防止自己的网页被别人iframe嵌入

happyxp · 发表于 2020-11-16 17:30:36

前面说了如何阻止 iframe里引用的网页自动跳转，已达到iframe页面的目的。
这次讲一下如何防止自己的网页被别人iframe。

1、这些方法都可行，但不是太可靠。

<script language="javascript">
* u4 h2 w7 Z" A& X: s6 Q; F& n
if( top.location != self.location) top.location.href=self.location.href;# `5 X0 h! J. r+ d+ m! |2 O
</script>

复制代码

或

<script language="javascript">
8 `; R. d" u) g$ O, C& j
if (top.location != location) top.location.href = location.href;. m: z" L" B( e8 `& d8 q$ ]
</script>

复制代码

或

<script language="javascript">
* ~2 I; Q" L0 w- B
if (top.location != self.location) {top.location=self.location;}
4 O. }3 x, d. Y6 @
</script>

复制代码

或

<script language="javascript">) ]% j7 G5 q; y+ v2 V: Q- S
if (top.frames.length!=0) top.location=self.document.location;9 U" d1 v/ e6 E) r: z6 ]3 t& R0 H
</script>

复制代码

不可靠的原因：
当别人用如下类似代码做IFRAME嵌套调用时，就可能躲过你的页面的javascript代码。

<iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
9 [ j$ l; }% E1 A- t7 y Y( Q3 E
<script language="javascript"> 2 a! b+ z; y: e0 P, T
var location="";
$ h' f" P! `, ^% |8 G3 r
var navigate="";
4 i! V: F8 r) M) c: ~
frames[0].location.href="";* S& A# E2 }' x! y% o) n5 a; t" K
</script>

复制代码

或

<iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">

复制代码

或

<script type="text/javascript" charset="utf-8">
3 T4 D! Y! f& H8 Y4 y
document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');1 T8 O8 P8 B$ Y1 r5 x: Z7 s
</script>

复制代码

2、代码层次的屏蔽，方法可行，但不是很人性化。
Meta标签方法

<meta http-equiv="X-FRAME-OPTIONS" content="DENY">

复制代码

PHP方法

<?php header('X-Frame-Options:Deny'); ?>

复制代码

Apache主机方法

Header always append X-Frame-Options SAMEORIGIN

复制代码

Nginx主机方法

add_header X-Frame-Options "SAMEORIGIN";

复制代码

.htaccess方法
在网站根目录下的.htaccess文件中中加一句

Header append X-FRAME-OPTIONS "SAMEORIGIN"

复制代码

IIS方法
在web.config文件中加

<system.webServer>
4 {# d2 K! |5 [1 X
...
4 C* Y0 ?) j7 M6 _) q. k
<httpProtocol>
0 Y' z" ]' w+ R, ^" d/ [
<customHeaders>, N% @+ e7 }! D9 g! ` E4 B
<add name="X-Frame-Options" value="SAMEORIGIN" /> 5 e; y% ?$ k3 H7 t9 N9 y
</customHeaders> ) S" k+ t! v! N, G) ~* l, ~- b g
</httpProtocol> % g q+ o( Q# d- d2 G% G. K3 R! v
...7 U! K+ h: x+ \2 D+ R
</system.webServer>

复制代码

之所以说不人性化，是因为这样操作之后，别人iframe会显示服务器拒绝之类的信息，虽然是屏蔽了，但是自己网站也不能宣传了。

3、推荐解决方法。

<script language="javascript"> : b& \ S* B" `- g) }" o$ e% M
if(top != self){1 Z* @( R' Q' j9 U: ~- J7 z, ] Y$ G
location.href = "http://xp6.org/iframe.html";
9 v# T$ }4 M/ ~1 q; p% }' n' W7 p+ o( O
top.location.href=self.location.href;$ M+ \! t' w& F# k! z2 O
} : h' c7 H: L# f. @+ ?
</script>

复制代码

将上面的代码复制到需要屏蔽页面<head>里面加载。
制作一个iframe.html页面里面放张网站宣传图片，加个链接，放到网站根目录。
原理：
第一步直接强制访问咱自己设定的iframe.html页面，如果网站禁用了JS跳转，那么执行到这一步就结束了，这样即使他们iframe了咱的网站，看到的只是咱的图片宣传页。
第二步，如果没有禁用JS，那么会接着执行top.location.href=self.location.href; ，然后跳转到我们的网址页面。
目前测试这种方法没什么问题。

[网站] 如何防止自己的网页被别人iframe嵌入