如何防止自己的网页被别人iframe嵌入

happyxp

前面说了如何阻止 iframe里引用的网页自动跳转，已达到iframe页面的目的。
这次讲一下如何防止自己的网页被别人iframe。

- s0 L2 J$ `- \" @& d) Q' j) m; ^' |1、这些方法都可行，但不是太可靠。
0 M, o; V( Y. o, D% V; Y; G

1. <script language="javascript">
   / S0 S5 N0 Z! v  k# w4 m! z" r4 f
2. if( top.location != self.location) top.location.href=self.location.href;
   
3. </script>

复制代码

或
# T5 f, Q) W8 @

1. <script language="javascript">
   
2. if (top.location != location) top.location.href = location.href;
     R; \; P. R1 h: X
3. </script>

复制代码

或

1. <script language="javascript">
   2 @7 ]$ K0 Z% _1 w+ z  _: h
2. if (top.location != self.location) {top.location=self.location;}
   
3. </script>

复制代码

或
# l. I$ U' T- `2 [. B4 W% ]) f

1. <script language="javascript">
   
2. if (top.frames.length!=0) top.location=self.document.location;
   ( r; Y& U( i& j7 q- u
3. </script>

复制代码

不可靠的原因：
! D5 _4 R- u$ I2 n& a6 c当别人用如下类似代码做IFRAME嵌套调用时，就可能躲过你的页面的javascript代码。
. \2 }( z8 X  V

1. <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv"  framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
     Y1 J" x! j) I$ p! C3 p
2. <script language="javascript">
   
3. var location="";
   
4. var navigate="";
   
5. frames[0].location.href="";
   4 y' ]8 o  w' _# \
6. </script>

复制代码

或
% E. V( y, W' Q) G3 Q% v1 W

1. <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">

复制代码

或

1. <script type="text/javascript" charset="utf-8">
   
2. document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');
   
3. </script>

复制代码

2、代码层次的屏蔽，方法可行，但不是很人性化。
Meta标签方法
* Q& ^& C" ?* _. \- C4 d0 O# O% I

1. <meta http-equiv="X-FRAME-OPTIONS" content="DENY">

复制代码

PHP方法
% q& v: M' b5 q. P

1. <?php header('X-Frame-Options:Deny'); ?>

复制代码

Apache主机方法

1. Header always append X-Frame-Options SAMEORIGIN

复制代码

Nginx主机方法
' ^( A6 e; m4 S* g6 c$ q+ X& g

1. add_header X-Frame-Options "SAMEORIGIN";

复制代码

  H* P$ M! K& a0 ?( M2 D.htaccess方法
在网站根目录下的.htaccess文件中中加一句
! J+ d+ t1 z5 X, K

1. Header append X-FRAME-OPTIONS "SAMEORIGIN"

复制代码

6 y7 d' S: J5 `! j+ I6 f! @IIS方法
在web.config文件中加

1. <system.webServer>
   
2.   ...
   
3.   <httpProtocol>
     V$ \. G2 [3 p" ^
4.     <customHeaders>
   + E& m- C  k  l% m1 |0 ~9 K
5.       <add name="X-Frame-Options" value="SAMEORIGIN" />      
   
6.     </customHeaders>   
   
7.   </httpProtocol>  
   
8.   ...
   $ Y& K4 @1 g# p8 R3 f3 ]  \
9. </system.webServer>

复制代码

' f5 T$ o) Y+ [5 k; t, u之所以说不人性化，是因为这样操作之后，别人iframe会显示服务器拒绝之类的信息，虽然是屏蔽了，但是自己网站也不能宣传了。

3、推荐解决方法。

1. <script language="javascript">  
   $ p* J' G3 @- `
2. if(top != self){
     V6 S; g! E& _8 F2 J
3.     location.href = "http://xp6.org/iframe.html";  
   
4.     top.location.href=self.location.href;
   " v+ T9 W( e4 W; z8 A
5. }  
   / e  B0 R0 J7 u% Q/ U+ |9 P7 S- f& h7 V
6. </script>

复制代码

: A8 x: i3 K  p6 A" o3 B将上面的代码复制到需要屏蔽页面<head>里面加载。
, e+ v0 }$ [, m$ P制作一个iframe.html页面里面放张网站宣传图片，加个链接，放到网站根目录。
原理：
第一步直接强制访问咱自己设定的iframe.html页面，如果网站禁用了JS跳转，那么执行到这一步就结束了，这样即使他们iframe了咱的网站，看到的只是咱的图片宣传页。
第二步，如果没有禁用JS，那么会接着执行top.location.href=self.location.href; ，然后跳转到我们的网址页面。
目前测试这种方法没什么问题。

) M+ W# \1 w$ j; M. h# S3 W' Z3 B1 x- m