|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。
- I, M! I0 W0 A6 z& n这次讲一下如何防止自己的网页被别人iframe。. F- w/ k3 f7 {! k' X ~
7 P4 y$ G3 b4 w; }0 @
1、这些方法都可行,但不是太可靠。
+ U+ x s4 F. p- P0 ^9 c3 a- <script language="javascript">
( t: ^" z2 x( r$ _9 G - if( top.location != self.location) top.location.href=self.location.href;) s, v7 Y" N, w6 r
- </script>
; \# N8 ~4 ^/ h- <script language="javascript">
+ ~! c$ l/ R- M" h1 I) I- r - if (top.location != location) top.location.href = location.href;
7 k- @3 K S8 ] @9 t - </script>
, }. c4 {+ Z- H& \- <script language="javascript">
( k4 Q7 b9 D; p3 `* m: [ - if (top.location != self.location) {top.location=self.location;}/ L) _+ `7 C# s
- </script>
- <script language="javascript">3 ?/ d4 F7 Y* g# w
- if (top.frames.length!=0) top.location=self.document.location;$ f2 C; m! \/ l0 ]
- </script>
当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。
( C, U- O0 ?* r; i- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>( G6 f. H* N! y6 f- I7 t
- <script language="javascript">
; O$ \1 `& d0 `: m - var location="";) a2 ?3 ]9 I1 y2 w; Y
- var navigate="";
( W* m9 I0 }1 i. b( w) P6 w - frames[0].location.href="";
/ {0 m; ?& h& W. q - </script>
- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
4 e+ t, C( ~# {' F3 t) j; R
- <script type="text/javascript" charset="utf-8">
9 F, u) w9 q; j3 z/ X - document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');
0 w6 e) X+ H- b; T - </script>
Meta标签方法+ }3 _4 f, [3 c. Z+ ]
- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
- <?php header('X-Frame-Options:Deny'); ?>
- Header always append X-Frame-Options SAMEORIGIN
' Q. g3 C% ?' |0 |# \$ D1 R" ^0 E" I- add_header X-Frame-Options "SAMEORIGIN";
.htaccess方法
7 e) O9 F4 K! Y2 z0 Z0 }在网站根目录下的.htaccess文件中中加一句
) F# m3 C$ j" U' U- Header append X-FRAME-OPTIONS "SAMEORIGIN"
0 U- X9 h0 X+ Z) g' hIIS方法/ N5 y! x0 s( X) T4 O4 O. \% x6 X
在web.config文件中加- <system.webServer>
9 l6 g6 n8 |( O5 w3 N O3 A2 }( v - ...
2 F( M9 y+ ]- X4 _ - <httpProtocol>9 y. V6 r6 N' f% d7 M$ B! `
- <customHeaders>
( z% S# A: n+ r5 j5 Z - <add name="X-Frame-Options" value="SAMEORIGIN" /> ; N# k; i, N+ g- W, M" ^% c1 M2 q
- </customHeaders> 1 v, j D; x: ]3 \" u$ p# W; s# g
- </httpProtocol>
, u0 l2 |0 r/ y3 m. Z - ...
" B! `: `0 T8 x1 A - </system.webServer>
1 L( {9 H$ f) S/ G, m G之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。. I4 ~8 n" k4 d
. b% w) v3 `+ Z( U" d# p: j) L3、推荐解决方法。
$ v- T( M) G8 ~. @9 Q% ~( l- <script language="javascript">
* y) f. X$ _+ Y; _: k8 h$ W - if(top != self){
7 q8 C, Z) I2 ~3 A0 q3 T T - location.href = "http://xp6.org/iframe.html"; " s% b' r1 ^6 x
- top.location.href=self.location.href;' m% t; S. o0 G* r! U! z
- } - k+ l0 m/ L# f$ P+ v
- </script>
将上面的代码复制到需要屏蔽页面<head>里面加载。
$ r4 m3 k9 W2 q8 r! D制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。5 n' \# ]* s; U7 d& `
原理:% C* O* J; X; W5 f' d
第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。
' p: T& r8 L/ n2 }0 \( n4 u第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。
% M4 x) ^ P1 F# A1 _目前测试这种方法没什么问题。
" d$ S+ T* l( ~1 F4 h3 j! m7 R8 N) ~% U
|
|
发表于 2020-11-16 17:30:36
千斤顶
显身卡
鲁公网安备 37021102000261号