|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。
. g% j U0 E2 u7 I1 O4 A' w7 J' r这次讲一下如何防止自己的网页被别人iframe。
# L# o, {7 A$ ^/ H1 _' _
! n' E- ?; W# A r1、这些方法都可行,但不是太可靠。4 d+ [! X! ^6 }7 Z7 O5 r& T/ H
- <script language="javascript">
! [4 N% T0 q+ e* o( ~! F8 p - if( top.location != self.location) top.location.href=self.location.href;
1 j, y9 Q2 ? U6 T - </script>
复制代码 或
3 J; S8 \& y }# A' D5 z& T5 A- <script language="javascript"> P \8 ?" @8 v
- if (top.location != location) top.location.href = location.href;
) R7 \3 k& z/ c9 _: G - </script>
复制代码 或3 F) h% a) {4 R4 {) B6 `. x8 W
- <script language="javascript">
' Q; D+ ^ }4 ?, p' h - if (top.location != self.location) {top.location=self.location;}9 Q& h" H, i% m# }! I$ g6 t
- </script>
复制代码 或* w( J3 @0 X) z6 L0 `$ |- d
- <script language="javascript">
9 O. Y5 j2 _! k9 S - if (top.frames.length!=0) top.location=self.document.location;; L5 r& p- H! y5 `) S! @: g
- </script>
复制代码 不可靠的原因:
7 C8 N1 z/ u6 v当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。
8 a0 {: b0 u- u" A" f- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>7 @0 q+ V# }5 I) t9 B. [
- <script language="javascript">
$ P- V; B5 I5 @( n - var location="";7 S* ^+ W8 Z. {, ~$ @( a
- var navigate="";7 q, a5 B7 ^/ A3 z& a
- frames[0].location.href="";
7 S6 O! G* H7 P/ X. N - </script>
复制代码 或& Z' h& [ ^) M- l, g4 v
- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
复制代码 或
$ |1 _# Q0 P4 Q3 I+ w, N
8 J- a: x$ g4 H! K6 Q' y9 B$ Q- <script type="text/javascript" charset="utf-8">. [$ \0 t5 f! s$ f3 g
- document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');
& a0 n& _' L7 Q2 J5 e7 |9 f0 h - </script>
复制代码 2、代码层次的屏蔽,方法可行,但不是很人性化。
6 T x) a5 J3 M2 B. C( ~' ]0 Z. pMeta标签方法9 g% L6 d8 c* ] z, D1 J% K% G& Z
- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
复制代码 PHP方法
/ l2 F7 f9 c$ m7 B) \% r3 F- <?php header('X-Frame-Options:Deny'); ?>
复制代码 Apache主机方法- i4 r K* x9 `, O# ^! q
- Header always append X-Frame-Options SAMEORIGIN
复制代码 Nginx主机方法
0 m$ N) R: g* ~) J- add_header X-Frame-Options "SAMEORIGIN";
复制代码 ) ^* A- e3 X) v3 W( I& Z
.htaccess方法
. y. H6 c/ [" o: A# Z, O$ s% D' }在网站根目录下的.htaccess文件中中加一句3 D* o k' H/ S; q0 W
- Header append X-FRAME-OPTIONS "SAMEORIGIN"
复制代码 # D* U9 X& B+ j- |1 k" H
IIS方法* @* I. a8 J- s' H9 @
在web.config文件中加- <system.webServer>2 Z9 a' ]! L. }
- ...
; y4 P! c4 I* y. W - <httpProtocol>7 }- h0 c: }( E! y5 o, `
- <customHeaders>: N. h' r4 U! C; k& ^5 g
- <add name="X-Frame-Options" value="SAMEORIGIN" /> $ f2 u1 z* _, D5 }7 e. O4 A
- </customHeaders> ) @* U1 q# y; p
- </httpProtocol> ) F5 s, x* Z- y- {# C$ Q5 N0 S+ A" p
- ...5 A1 J: l6 x. _ p w% n( C
- </system.webServer>
复制代码 - Z) g4 m6 X# C9 U& y
之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。. {3 B; ~' b% y9 i3 @
& L5 k9 ]3 X, }3 H& ?2 \
3、推荐解决方法。
6 N/ h8 S7 k' |( M- <script language="javascript">
' `: Z' n$ _6 B- |# Y+ _' z - if(top != self){
% k7 ]" p# J8 r: z9 ] - location.href = "http://xp6.org/iframe.html";
7 C+ i" H) v- z0 G( o6 a% p5 c - top.location.href=self.location.href;
* k# j$ u& Q0 }9 p0 B - } 0 k- O5 E7 k2 c6 T, Y
- </script>
复制代码 ( ?! m" Z. y% r
将上面的代码复制到需要屏蔽页面<head>里面加载。
8 k2 t0 k+ [& ^4 N1 i/ ?) @制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
1 F9 r- c( S2 O+ \$ L原理:. w; U" h9 [0 Q% b
第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。
# V9 @/ _! L: q; A1 h8 |第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。* R7 T& B1 ?) H6 j* O2 L
目前测试这种方法没什么问题。
4 }* ^+ V6 N( q" i1 E0 q
! T$ _; b7 F6 A: Z& M3 ^ |
|