|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。
4 B2 [# O' |- J j这次讲一下如何防止自己的网页被别人iframe。
* G1 s. _/ T+ D
1 `& j- |* I- M$ D+ J+ X1、这些方法都可行,但不是太可靠。
$ [" p+ w; [; t0 i# f* o- <script language="javascript">
7 y& y: k- w& Z- f5 W2 q - if( top.location != self.location) top.location.href=self.location.href;' Z$ [9 m8 U8 e5 J/ {
- </script>
复制代码 或
7 X5 k1 a: `2 q. y! I5 ?- <script language="javascript">4 q8 N, \: Y8 M4 r! h+ G
- if (top.location != location) top.location.href = location.href;3 b% D5 ]9 }. c5 E# Z p& ^8 U
- </script>
复制代码 或
" p9 H, _" t6 j' i: H- <script language="javascript">
* T# g+ S2 Z* |- t5 w( D* G, w - if (top.location != self.location) {top.location=self.location;}
; \5 e7 Y+ F5 _ - </script>
复制代码 或& b; T3 s& i8 U) B7 O- ^
- <script language="javascript">1 d) S0 r a) Y+ ~, s( e
- if (top.frames.length!=0) top.location=self.document.location;
. Y+ O: w1 [1 E" j3 }2 I - </script>
复制代码 不可靠的原因:
8 U6 U }! S( Z4 I6 @+ Z* W- G" s当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。
9 b" k- a. b) `2 C& e9 q A( |- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
% [; ?) [" z ^4 K0 x - <script language="javascript"> 5 k( ]3 N! i/ n* ?
- var location="";# B) p; R: Q6 I/ o2 }
- var navigate="";( B4 ?# r- @. q
- frames[0].location.href="";* I! r7 n5 a' m- e& r
- </script>
复制代码 或8 t1 a- U6 s7 ^0 ]! m% B- M
- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
复制代码 或 o) U0 h, \. p: ^
" V! Y3 h: O* r% ]- <script type="text/javascript" charset="utf-8">: {( U: y5 c+ e& R
- document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');
3 n6 N: T) U6 Z - </script>
复制代码 2、代码层次的屏蔽,方法可行,但不是很人性化。
# j/ D8 h! c3 F% X. v# T1 f& dMeta标签方法
7 z/ h$ T7 P( z6 h: n5 u- }- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
复制代码 PHP方法! M- K. d- b4 G* C4 {* W( i \. P o
- <?php header('X-Frame-Options:Deny'); ?>
复制代码 Apache主机方法5 X/ A4 U6 y# M' u. t$ u( k2 }! f
- Header always append X-Frame-Options SAMEORIGIN
复制代码 Nginx主机方法
7 t3 |& a% v( C, f) C. S( S- add_header X-Frame-Options "SAMEORIGIN";
复制代码 " w, L }) B L9 V% I5 L
.htaccess方法
+ Q) ~' ], K* ~* n在网站根目录下的.htaccess文件中中加一句
' M, b$ v1 u5 N0 u# ?& V- Header append X-FRAME-OPTIONS "SAMEORIGIN"
复制代码
% }7 G0 h5 y& _7 |IIS方法* C( L! Q q% }: N9 Z* w
在web.config文件中加- <system.webServer>! @" B* {- H/ U4 W5 b# U
- ...$ u( y8 a9 I1 H* f
- <httpProtocol>
8 _/ u+ N( Q" X& s - <customHeaders>+ }; e8 m* T& Q
- <add name="X-Frame-Options" value="SAMEORIGIN" />
R* @" E- b; V. m* g# N - </customHeaders>
) b% X! k8 a. c$ w - </httpProtocol> : E6 S( g( [& r8 P: T) X
- ...0 {% A7 e( q0 c7 w( t S
- </system.webServer>
复制代码 # J+ B I# N5 W- C/ ~
之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。: S& x# H+ ]; s0 |; g* w( d2 _8 E; e
S6 b- ^$ ` S! ~5 g$ x; M& W3、推荐解决方法。
( i) N( y! i$ D& H9 v, V- <script language="javascript">
2 q# X/ W+ n; S7 j7 l/ n - if(top != self){
: U3 R& a8 Q }9 Y - location.href = "http://xp6.org/iframe.html"; G2 J: J- M& B: v$ F% q5 Z" o
- top.location.href=self.location.href;+ Q/ f( Y" Y/ x+ ]- p. @& c
- }
Q6 [0 V9 m( r# q' Z3 c" u7 R% E - </script>
复制代码 , S7 k1 d- s, g0 U: S: h* E
将上面的代码复制到需要屏蔽页面<head>里面加载。
( I9 V. D& U* U5 h$ n制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
# K/ L: \# m i U- {/ C原理:
5 X2 h T& a6 w* z5 c第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。6 N% Z0 \& }) e; A6 |% a7 P
第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。9 X$ J+ r4 _ W! h) X
目前测试这种方法没什么问题。
9 c/ x+ j2 G/ T* K
9 V! ~/ n4 O+ \* \( m2 o- s- A |
|