|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。4 n' [: P& r+ i# ?) x
这次讲一下如何防止自己的网页被别人iframe。
5 ]; Z% _2 V8 r3 j3 X4 I- C7 B6 U) [2 d7 H+ N6 {
1、这些方法都可行,但不是太可靠。
6 w) m) t- z9 Y- <script language="javascript">
9 k9 @1 U6 n* Z$ S - if( top.location != self.location) top.location.href=self.location.href;2 i5 `1 A% v; e6 U+ g+ F, {8 y
- </script>
复制代码 或: Y' @3 s; J* B' Z/ i
- <script language="javascript">6 c$ _% B. `4 J+ A+ w' [
- if (top.location != location) top.location.href = location.href;
' R5 W R% E% G; h/ j+ b6 j" l7 k - </script>
复制代码 或 |9 z+ v- m6 H- Z y* C
- <script language="javascript">7 h0 N) E9 I# f
- if (top.location != self.location) {top.location=self.location;}
5 X. N. J- \3 Q; v$ G! x6 }- i - </script>
复制代码 或
( V* V; X2 M: r# y! ~' U; K- <script language="javascript">
- k; Q1 o/ V+ ] R1 O - if (top.frames.length!=0) top.location=self.document.location;
( {- e9 c, ?+ i# o4 ] - </script>
复制代码 不可靠的原因:
v- B# d3 i) F l" v4 R当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。
; n! H+ r! Y% U6 _- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>. O/ C+ e7 Y4 [; _' _
- <script language="javascript"> 8 {% @) x# [5 ?$ B, ?% a" l; p
- var location="";& q) l6 B5 X. E+ p" Z/ ~: A0 s
- var navigate="";; u3 H! S: B. s$ i5 o
- frames[0].location.href="";
- S( B* f0 |! ~0 U- W( T! K - </script>
复制代码 或& @. f% u N& G* K! l
- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
复制代码 或9 K& E* v/ T8 F/ D+ J3 u
* Y8 y Y- J. H& u
- <script type="text/javascript" charset="utf-8">4 Z7 h+ }5 [0 J& P5 o5 M
- document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');
# g0 D; M+ h8 I& s# W - </script>
复制代码 2、代码层次的屏蔽,方法可行,但不是很人性化。0 A* j6 P$ C; d2 F; A; Y
Meta标签方法
+ K: f3 ^; y* u3 Z- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
复制代码 PHP方法; ^9 K5 D% J) {9 c0 [" j( A
- <?php header('X-Frame-Options:Deny'); ?>
复制代码 Apache主机方法
. p. F1 l. x9 e; z- Header always append X-Frame-Options SAMEORIGIN
复制代码 Nginx主机方法
; C2 z4 b8 T \5 X' u- add_header X-Frame-Options "SAMEORIGIN";
复制代码
% k* T4 y6 E! j9 l+ q; f0 u.htaccess方法7 r3 u8 ^- f/ g4 h2 e; V5 }
在网站根目录下的.htaccess文件中中加一句
# Z- D5 I% V' ~& ~! w- Header append X-FRAME-OPTIONS "SAMEORIGIN"
复制代码 + ]6 W. O, R$ ]
IIS方法& O! q) H, S+ g3 z
在web.config文件中加- <system.webServer>
# i- O9 W t: V; p- } - ...0 H) C- `. `( q
- <httpProtocol>
* n% C. t& @) C: P; Z( W: z, c - <customHeaders>
* L. v E" _/ ^1 F: f- z - <add name="X-Frame-Options" value="SAMEORIGIN" /> 0 l) k, ?& z' I+ I0 M6 D
- </customHeaders>
0 F. ?$ A1 H# @! c; c. I) u+ q3 z - </httpProtocol> ) I; g4 m( f* Y# D4 P1 @- I
- ..., O! d7 S* |' L5 T7 a( N
- </system.webServer>
复制代码 0 f; @9 k/ ?7 E' x( F
之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。
0 b4 n2 k0 I) Z$ h9 d$ @3 {2 w" H; C
3、推荐解决方法。+ f% x+ o- o4 p' }" @! d0 z. B4 F
- <script language="javascript">
8 ^0 p/ m! B7 [# E - if(top != self){7 r3 o+ C! K1 W* M1 W4 s" [: U3 z: w
- location.href = "http://xp6.org/iframe.html";
?3 \1 e1 U% W u; o- k/ z - top.location.href=self.location.href;+ W j) j' w. E5 { r
- } ) v0 p- p' U( T9 Q
- </script>
复制代码 ^1 {$ l7 S: ~; H4 j8 A
将上面的代码复制到需要屏蔽页面<head>里面加载。
: ?1 d, z' `& A& C d制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
) F5 V5 ^' m3 `7 d+ I原理:
" j6 c9 e$ J) O% j2 F# V% {第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。4 S1 o! N0 b: I& P
第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。
# b5 f. p, w# {目前测试这种方法没什么问题。
) k; ^, v! P! j9 r# F
' x9 ]+ O- J! u- M2 v, `# P1 _ |
|