|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。
( w7 [2 }/ t# ?+ X) L这次讲一下如何防止自己的网页被别人iframe。% E8 V; r4 T* Y
% F6 s# |" k: L$ A3 B6 F) b1、这些方法都可行,但不是太可靠。9 {% i G+ c4 z( k. ?! G9 A
- <script language="javascript">
8 r: r% k( l8 g# B% f2 ]+ ?/ Y - if( top.location != self.location) top.location.href=self.location.href;& E2 l) O9 m3 J
- </script>
复制代码 或5 P8 z# ^7 F- F
- <script language="javascript">$ O' y- k5 j& F {& y: D2 Q U4 l
- if (top.location != location) top.location.href = location.href;
! G9 u; A8 j9 b - </script>
复制代码 或4 R' N1 z6 _: b$ V/ w
- <script language="javascript">
8 x+ R' B4 D& {& o) w: i( C) @! F - if (top.location != self.location) {top.location=self.location;}
2 M. |% |: W& s' K2 I - </script>
复制代码 或) W: o( n J) {% `' q
- <script language="javascript">2 k, W0 B$ O' p" L) C0 f
- if (top.frames.length!=0) top.location=self.document.location;# b5 ~6 }4 k( P j1 S
- </script>
复制代码 不可靠的原因:+ K& c! Q0 e# I% D9 g7 |
当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。& x9 n+ E# _/ c" N' w6 H0 G
- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
* J9 p, S9 O! G. ]" Y4 w7 Z, X - <script language="javascript"> ; N/ e2 f% \- }5 F
- var location="";
: H1 L: g3 M7 j0 ] - var navigate="";
8 `, n/ c$ h0 X" T* E3 e - frames[0].location.href="";+ g) }$ m m$ Z2 B0 P+ |
- </script>
复制代码 或
8 g2 e) E* A( J# c- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
复制代码 或
, p3 w: ?/ l& I5 `( |' A
, |+ H8 j- p% Y0 K# f- <script type="text/javascript" charset="utf-8">
+ k+ R. O+ ?: I# \2 h9 j3 f - document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');# z7 K& @/ L4 [
- </script>
复制代码 2、代码层次的屏蔽,方法可行,但不是很人性化。1 c { y3 `7 K
Meta标签方法
- p M. {% G6 M) ]- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
复制代码 PHP方法
3 x* Z/ Q, ^& F5 P: G- <?php header('X-Frame-Options:Deny'); ?>
复制代码 Apache主机方法5 i; R' m8 g% t% g( z) A
- Header always append X-Frame-Options SAMEORIGIN
复制代码 Nginx主机方法
5 h* y2 k, v& M& l/ E! e- add_header X-Frame-Options "SAMEORIGIN";
复制代码 . v+ z; A. K! F9 o( V/ ?0 f
.htaccess方法$ F( W* |9 @$ q, h0 u5 Q) _" }
在网站根目录下的.htaccess文件中中加一句& a! L& k8 j$ V
- Header append X-FRAME-OPTIONS "SAMEORIGIN"
复制代码 / F9 G; _( F1 _5 s+ |% o3 E/ [1 K
IIS方法& `' }8 h# I+ T; x
在web.config文件中加- <system.webServer>
9 O, ?: K0 J5 I9 O - ...5 b% g$ m" c. C, f' C- w- K( ]
- <httpProtocol>9 ~1 W5 S( T1 h& Q" I
- <customHeaders>- O9 t# \; P$ z" m
- <add name="X-Frame-Options" value="SAMEORIGIN" />
. G/ O' e6 e7 ? - </customHeaders>
q1 y- s; V% v& Z6 X - </httpProtocol>
4 V. _2 O9 {' f' x& r" q' }2 W - ...
* f- R2 F! C8 Y9 C - </system.webServer>
复制代码 # k; S" X+ }7 G/ ~5 J6 Z
之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。) r' l2 G" h/ s1 T! @9 P. O; T% m; x
. t; R* u5 X$ Y" Q3、推荐解决方法。 P; A* L1 \! r% J+ a. k9 V
- <script language="javascript">
`4 h" x) o% h1 l, g4 n - if(top != self){
: J' p! m) T8 }! c, g$ z: P - location.href = "http://xp6.org/iframe.html";
* p. P F% l3 _ - top.location.href=self.location.href;
( Q8 t- L$ l: A2 j$ h6 P: C - }
' H( P9 n- k4 m3 w+ ~ - </script>
复制代码 2 v9 Y- E. i# b
将上面的代码复制到需要屏蔽页面<head>里面加载。
& H' F4 {# \: _; X* d制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。" G0 F* K: o1 I5 G
原理:
0 x7 C! c/ j% K4 U第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。7 U4 [6 t/ `2 y; S4 w* D: K
第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。9 ~& Y8 } G d* M4 c5 q
目前测试这种方法没什么问题。
( y1 {' o# K8 a- l5 D( m( |& w/ y. `9 q) f8 V
|
|