|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。
$ b$ z4 C. |9 Y @ S- \这次讲一下如何防止自己的网页被别人iframe。% Y. H7 d: P- v } I
" D6 o" _3 B4 E4 R" k
1、这些方法都可行,但不是太可靠。& N6 c$ i; k3 [4 E- q
- <script language="javascript">5 o U5 t' f6 k4 S0 S8 c' Y
- if( top.location != self.location) top.location.href=self.location.href;. F+ d7 U ?( }6 ?+ R) F
- </script>
复制代码 或
- d5 A8 _5 d5 Q' v% O9 R- S! S- <script language="javascript">" z* i- c' ?" _ d: U) Q
- if (top.location != location) top.location.href = location.href;/ D8 ]+ a& ? W2 |
- </script>
复制代码 或
& j( g5 Z3 y( a9 b3 n) k- L/ _: d( K- <script language="javascript">
; o1 H5 c z0 e - if (top.location != self.location) {top.location=self.location;}
( t& E) H$ A, U$ a( v - </script>
复制代码 或
" |8 H6 L4 d; g1 H" c! c- <script language="javascript">+ `5 r' Z. I" ~0 ]7 B" i
- if (top.frames.length!=0) top.location=self.document.location;1 C! M: k/ g/ b
- </script>
复制代码 不可靠的原因:/ u }2 N. W* s' f
当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。
! |8 M0 I# r5 E$ b# k5 e- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
8 L/ t! Y# ~) z - <script language="javascript">
" u; V9 R( H( p' i: l - var location="";
# Z. m% ^, F9 E. { - var navigate="";
) S( I* Q0 B1 S" c! W7 D0 j4 x - frames[0].location.href="";8 U- C6 s( |( ]4 O0 b2 N3 Y4 B
- </script>
复制代码 或9 x: P K. _$ u8 j7 n: L6 _, I
- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
复制代码 或- k6 |8 R# ^, X q
# Q- n0 O0 v* P9 C7 L- F3 p- <script type="text/javascript" charset="utf-8">& z. u' F5 i+ _5 z: Y
- document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');# u% b" S; b$ `& n; o/ t1 x
- </script>
复制代码 2、代码层次的屏蔽,方法可行,但不是很人性化。
4 w$ E2 |2 c, A$ CMeta标签方法& o* }2 Z) Q% F
- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
复制代码 PHP方法% @/ N9 V0 r$ x4 r4 F7 P$ e8 m
- <?php header('X-Frame-Options:Deny'); ?>
复制代码 Apache主机方法) L: e& _* V" u) M3 t
- Header always append X-Frame-Options SAMEORIGIN
复制代码 Nginx主机方法
8 a+ W" Q& M1 ]0 B- |3 m- add_header X-Frame-Options "SAMEORIGIN";
复制代码 4 x' m, J* _. H8 L
.htaccess方法
* t0 P& j# k( X# d- x8 c1 {( `( q在网站根目录下的.htaccess文件中中加一句
0 P+ J) t7 K4 W4 @- Header append X-FRAME-OPTIONS "SAMEORIGIN"
复制代码 7 _/ i, K/ ?6 f
IIS方法& t! r0 T3 q8 ^6 Z! D
在web.config文件中加- <system.webServer>2 S' x `, U$ M5 o" Q, I; V: e; c
- ...
& d" G* u! g: E% B: \ - <httpProtocol>
?& n+ d1 O G) m - <customHeaders>" ~- K! S. T' E
- <add name="X-Frame-Options" value="SAMEORIGIN" /> $ I! J: h8 O4 d$ U7 {
- </customHeaders>
0 a3 b1 y$ i2 L$ v j& i& D: D - </httpProtocol> * v6 ` i- q# D# q
- ...# L- o- f, t) _9 D. s/ F
- </system.webServer>
复制代码 0 O9 o$ {+ g3 _9 s& R$ U
之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。
/ ]# v. t' q- L2 q* s9 U. u, w% y3 O& u+ K. m- A) ~
3、推荐解决方法。
- F! t8 ]' W7 P. W; Z$ r g/ @4 p- <script language="javascript">
- {3 F% {6 O3 ]/ T - if(top != self){
6 G7 q' z7 E1 {# t# K - location.href = "http://xp6.org/iframe.html"; 1 F9 ~: O1 f" r; |3 }3 Y
- top.location.href=self.location.href;- {- F/ N; w) x* v
- }
: G V9 W# e9 h - </script>
复制代码
4 o( a. D: u& h- A9 \; |+ `将上面的代码复制到需要屏蔽页面<head>里面加载。( e$ Y( m0 Q2 K2 n
制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。' c, S# I3 G/ ~8 ]: N. k
原理:
' d1 M8 v K, R) S$ X8 Q第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。/ a* Z) o2 Q6 `, ?: y" Q, {
第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。
- i& [9 b' ^" C. O. O$ i目前测试这种方法没什么问题。1 |7 r( C' j6 x" ^! X( x
8 N2 B- D. z2 O: F n4 P
|
|