搜索
查看: 14447|回复: 0

[网站] 如何防止自己的网页被别人iframe嵌入

[复制链接]
发表于 2020-11-16 17:30:36 | 显示全部楼层 |阅读模式
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。
; L4 \" F; h4 W. R这次讲一下如何防止自己的网页被别人iframe。: f1 v% l3 c2 Q0 H/ U
' C( F/ [* z4 X' n. t* o1 `5 Q. d
1、这些方法都可行,但不是太可靠。
/ B; ]7 e; t+ ~5 v. d4 X
  1. <script language="javascript">
    ; @4 Z$ ]( x4 H
  2. if( top.location != self.location) top.location.href=self.location.href;. a0 h0 w% Z! n
  3. </script>
复制代码

5 a# ^4 \1 a) W2 J: w( r' b0 h1 F
  1. <script language="javascript">
    8 H( `. W: z  z; _
  2. if (top.location != location) top.location.href = location.href;  f# \0 k  u4 w
  3. </script>
复制代码
* i+ o  C( g$ o& l# |. a' b
  1. <script language="javascript">  Z& j, `: ~7 z& c
  2. if (top.location != self.location) {top.location=self.location;}
    % [; s  X. U4 L- L7 v, p: u; h, @
  3. </script>
复制代码
1 V' ]% \! ]: a5 }
  1. <script language="javascript">& C) X' A: n  E$ g' b" m
  2. if (top.frames.length!=0) top.location=self.document.location;/ o% h7 c9 H( e4 ~& d) W
  3. </script>
复制代码
不可靠的原因:. l, \" i& |9 P* N
当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。# K. W" r; \, Q) `' u6 R
  1. <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv"  framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
    ( w) N0 ^9 m8 V5 T; z* E
  2. <script language="javascript">
    2 A7 h9 n+ r( ~% |
  3. var location="";% c5 m6 I3 E& \' T1 i4 ~( q/ m
  4. var navigate="";
    1 \# N# L; ^. F' j. a$ t8 K2 O' N! ^" T! z
  5. frames[0].location.href="";. R& d# m& A$ i' ]1 R" o
  6. </script>
复制代码

7 [2 I+ f3 M$ G3 x- O+ x
  1. <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
复制代码
& z, D" ^- V# ^6 S- Z6 i! o! g+ q: v5 t  D

2 J3 X# b0 d/ _- |/ u5 x. ^
  1. <script type="text/javascript" charset="utf-8">$ _/ F9 G2 v5 b
  2. document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');$ m# m4 ~: T; _  H9 A2 L% U" U
  3. </script>
复制代码
2、代码层次的屏蔽,方法可行,但不是很人性化。) _. F! `& X! G% s3 ~. _* B: ~
Meta标签方法9 _/ H3 N- ?# I) J/ ?
  1. <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
复制代码
PHP方法8 Q$ i0 A1 V6 p( \
  1. <?php header('X-Frame-Options:Deny'); ?>
复制代码
Apache主机方法1 h0 q2 r8 k& k2 y# e
  1. Header always append X-Frame-Options SAMEORIGIN
复制代码
Nginx主机方法
2 x! b! g2 z$ P! x
  1. add_header X-Frame-Options "SAMEORIGIN";
复制代码
6 i$ x( K3 p9 F
.htaccess方法9 \4 i% \; ^, n' C+ l; ~! D
在网站根目录下的.htaccess文件中中加一句
% W/ _7 W3 `$ Q- i
  1. Header append X-FRAME-OPTIONS "SAMEORIGIN"
复制代码

5 J" u' B& R. }" a6 C0 q0 |; xIIS方法" b: ]7 |; S" x( ~8 E
在web.config文件中加
  1. <system.webServer>
    7 h* a) U. a( T( j  S
  2.   ...% \) V" @/ A8 b
  3.   <httpProtocol>
    0 B$ `# h& F( J! c) K- s( m
  4.     <customHeaders>/ I4 H! t# H6 P* f* U
  5.       <add name="X-Frame-Options" value="SAMEORIGIN" />      
    ! @1 a% e9 V+ k2 \) j$ ~; G5 C
  6.     </customHeaders>   
    2 G' F0 @2 I% x/ p% I  r, C
  7.   </httpProtocol>  3 R9 D( Q! K1 r0 q# ^
  8.   ...) S! O( _- H0 Z. ^; f0 C
  9. </system.webServer>
复制代码
+ K4 N8 g" L& h  Q/ P
之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。
; b/ u0 S& {$ @4 o& {) z% R; J5 D) {  d0 N. B- ]: a' t5 S! L* |
3、推荐解决方法。
: O2 j+ y6 d3 D; k) E
  1. <script language="javascript">  3 w- G  l) \# \
  2. if(top != self){4 O6 A7 r2 ?5 C$ K9 |
  3.     location.href = "http://xp6.org/iframe.html";  
    0 u: M+ e) y; P1 C
  4.     top.location.href=self.location.href;, `# E8 c3 N8 u! b% e
  5. }  + M3 a0 @/ l( d) H7 R9 ]
  6. </script>
复制代码

5 `. g) E8 c4 `, t3 w将上面的代码复制到需要屏蔽页面<head>里面加载。
* ?. B8 L! k' W: s+ C$ j制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。2 e9 }! p) m8 H( v+ Z) p
原理:! S8 c6 _, }, Q  q1 E5 P
第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。7 q$ `- G  Q7 d5 r
第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。
1 }+ P+ ^; @* F7 B9 Y目前测试这种方法没什么问题。$ x+ E7 j2 w4 M3 q, C
, u8 H' x4 a; z9 ?
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册帐号

本版积分规则

热议作品
精华帖子排行
精彩推荐

虾皮社区,成立十年了!

站长自己也搞不懂想做个什么,反正就是一直在努力的做!

Copyright © 2007-2019 xp6.org Powered by Discuz

QQ|Archiver|手机版|小黑屋|虾皮社区 鲁公网安备 37021102000261号 |网站地图
返回顶部 返回列表