|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。( U0 y5 [. a i3 f$ y
这次讲一下如何防止自己的网页被别人iframe。% q2 O& H6 G' G$ y" l# F6 L
8 p4 | L" s! L, R' I" F
1、这些方法都可行,但不是太可靠。* ~ |7 f4 `( \/ N0 g0 P
- <script language="javascript">
5 @7 S6 a* d/ X2 s; m- K1 d, Y - if( top.location != self.location) top.location.href=self.location.href;
9 k" E& M$ t+ t+ C" p& ] - </script>
7 E7 E6 B- ]! P* {4 ]- <script language="javascript">
0 h7 x' X, _7 v2 f3 ~# x - if (top.location != location) top.location.href = location.href;
) k7 ]7 a9 }3 n2 c/ T9 k4 P - </script>
- <script language="javascript">
8 A0 p+ h: Z. v' Z! \5 M4 i - if (top.location != self.location) {top.location=self.location;}/ }' e' e V$ J% \
- </script>
- <script language="javascript"> m! p# q/ M$ r- N
- if (top.frames.length!=0) top.location=self.document.location;
& m n3 V5 x' f9 g - </script>
$ z! j7 L. b8 w当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。
/ ?. N- \ F! `: ]- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>( L4 i% j. g* T% f$ L- `
- <script language="javascript">
8 l8 [0 o6 O8 ]- @ - var location="";6 `/ t3 v8 m6 g8 f1 C _0 K" e4 y+ a
- var navigate="";- l! B* K# E9 K! D0 T
- frames[0].location.href="";' m7 J! W/ L) }9 p% o
- </script>
# Z3 d6 u3 e5 [- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
! o' H* n" J- u$ [* W* {# N$ \+ c0 n7 y& e8 ^. Z' }
- <script type="text/javascript" charset="utf-8">5 C8 n) j4 K8 w4 H" Z& L( S# Q
- document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');6 ?3 {7 G+ j/ b. R; f" u
- </script>
1 {0 _/ j% G: M" }Meta标签方法
2 R' ~& A1 |. Y% J+ M+ e- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
- <?php header('X-Frame-Options:Deny'); ?>
; L) G. @& [. ]6 w% T- Header always append X-Frame-Options SAMEORIGIN
- add_header X-Frame-Options "SAMEORIGIN";
$ H8 s2 \* N" R8 X5 f. ]" D, [.htaccess方法0 U% I$ V6 T5 n! M2 i
在网站根目录下的.htaccess文件中中加一句
6 \+ i, j w' X' |0 [- Header append X-FRAME-OPTIONS "SAMEORIGIN"
IIS方法
. A4 ~: @1 R- N8 n3 X" N在web.config文件中加- <system.webServer>
) \2 K$ R/ z( T) {' Z; L, T! F - ...2 J8 d7 _; G X7 q
- <httpProtocol>4 Y) C3 j* N2 a# M; Q
- <customHeaders>
# s% o) f1 N: N- k( q% X0 P - <add name="X-Frame-Options" value="SAMEORIGIN" /> 6 P, O& q* P6 G9 x) b' c
- </customHeaders> , @9 v1 L' W8 e1 G& w c" d+ L Z" J$ B- {
- </httpProtocol> 2 g* T: y' x0 u& F
- ...- a8 O$ R- u/ @: h8 x& g
- </system.webServer>
0 a i4 j' M2 \之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。
$ g5 O: h4 m8 u6 z9 z ~; P: d; L
3、推荐解决方法。4 D) U1 q: T. R
- <script language="javascript"> 7 |: ?+ z; G: k( t
- if(top != self){# B0 s7 ^- d$ p
- location.href = "http://xp6.org/iframe.html"; 7 ^1 ?! P$ J! t
- top.location.href=self.location.href;- h$ w. C4 _$ B1 a9 z6 L9 @
- }
5 Z$ e( N0 s5 w$ b; U - </script>
* D, l( Z( i5 G( w; _将上面的代码复制到需要屏蔽页面<head>里面加载。
. [0 f" p. ]# P5 A0 Z制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
: b- T8 g) w: I原理:" V3 z1 ?$ a, P& N
第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。
# Z! [0 X; T" w9 B第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。1 z; J* ~% q3 ]; B" u- Z
目前测试这种方法没什么问题。
8 z/ v3 y4 x6 O6 h, x! ~4 N* d- _% h" G# l; E/ q
|
|
发表于 2020-11-16 17:30:36
千斤顶
显身卡
鲁公网安备 37021102000261号