|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。# i0 e* x4 W- U3 w9 H- a4 d: e
这次讲一下如何防止自己的网页被别人iframe。
! |6 j& k; c/ k$ g5 R& j/ j" g0 I8 ?$ w
1 n- I! m% d1 Z* x2 y1、这些方法都可行,但不是太可靠。
5 o3 ^) {- A p) ~8 v! r u2 X- <script language="javascript">
5 b4 b' Y9 W) X9 h - if( top.location != self.location) top.location.href=self.location.href;
: `8 g# v8 N) C5 V f - </script>
- <script language="javascript">7 P: M# ~' c" K, k. y& L
- if (top.location != location) top.location.href = location.href;
6 y& G7 |. @1 i& h8 R& P - </script>
- <script language="javascript">
9 M4 h4 V2 [: v2 F0 y6 a - if (top.location != self.location) {top.location=self.location;}
9 l5 ` R, u( @ e$ \ - </script>
- <script language="javascript">% Q( s# e, E/ P9 b7 f ?
- if (top.frames.length!=0) top.location=self.document.location;2 O5 z, ~8 d. T0 R
- </script>
! c. `2 [. O6 k: m4 V当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。
/ W' B- N6 v0 g: Z: s- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
1 V& ^, D0 Q5 F - <script language="javascript"> 7 S1 g1 d* z! ^. r: s
- var location="";
$ {3 S" D; A/ I - var navigate="";
9 _! r$ j' r3 X- a8 x - frames[0].location.href="";8 }. H7 m1 v# v
- </script>
- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
& ]5 W5 W. l6 ^/ A) Z1 C4 i
0 d9 E8 f' Q4 _" W& p- <script type="text/javascript" charset="utf-8">
* e% p" h8 B! E: I - document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');
3 }! X, v3 n, }+ D ~3 ]* Y - </script>
Meta标签方法
4 @+ k: ] k$ N2 g/ G- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
- <?php header('X-Frame-Options:Deny'); ?>
- Header always append X-Frame-Options SAMEORIGIN
5 B2 K" B, v o$ T) i- Q; O; Y- add_header X-Frame-Options "SAMEORIGIN";
1 o; x# k# p& |; d) @! i.htaccess方法* Z1 i" U- ~; p
在网站根目录下的.htaccess文件中中加一句
$ B1 X' L% i2 _* c0 s2 R- Header append X-FRAME-OPTIONS "SAMEORIGIN"
/ x# N2 B5 P# ]* ], V+ |IIS方法
1 p* b% g$ {- y: e9 P' x# ^在web.config文件中加- <system.webServer>
. q2 N3 r6 r# F9 }( {# v' I - ...
+ D3 B$ C) S( c6 p( H! q# O* V - <httpProtocol>
, L) ^# d) ~/ B% Q, ` - <customHeaders>
U6 N9 \1 `& I s9 H1 c- b3 q3 ? - <add name="X-Frame-Options" value="SAMEORIGIN" /> 2 {6 p: ?2 S7 o3 L7 k' w1 L$ X
- </customHeaders> 9 B; d) u4 M3 Q8 W/ ^; ?
- </httpProtocol>
# _( A5 h7 Y' Y L: F: |3 y* Y - ...
' x4 d; C! _4 n( Q4 x - </system.webServer>
( U$ J# h6 F, C- V7 y之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。9 q0 }8 G2 Z" C3 k h& S9 j
) z( ~; E% b7 Y( k9 u; e
3、推荐解决方法。& e4 T/ [% D1 }1 Z) D
- <script language="javascript">
: ]+ b$ |8 J a2 G* G" S- y - if(top != self){
4 y& Q7 K$ x) ~/ S5 z; o. l1 D - location.href = "http://xp6.org/iframe.html"; 1 k2 \1 J3 o' |- }! c( @
- top.location.href=self.location.href;% q4 n7 u5 a; ]" _$ ?* E! l S
- } / O. U/ s" ^, [8 b) `
- </script>
将上面的代码复制到需要屏蔽页面<head>里面加载。7 \/ t* O0 M; z+ L1 r+ K) L8 W
制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
$ E# [) Z: d( k3 @+ }+ N1 \5 l原理:7 P( z" E3 ?9 {+ A
第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。
/ b6 c; l+ t; D( y# K2 @& v' M第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。# u V3 C; A$ y$ i; ?6 x. `
目前测试这种方法没什么问题。
B2 N7 B4 l1 ^4 X% G0 y, k$ U- D `1 H6 F
|
|
发表于 2020-11-16 17:30:36
千斤顶
显身卡
鲁公网安备 37021102000261号