如何防止自己的网页被别人iframe嵌入

happyxp

前面说了如何阻止 iframe里引用的网页自动跳转，已达到iframe页面的目的。
这次讲一下如何防止自己的网页被别人iframe。
* V' p5 h. k/ n: \8 v4 y
) X* D1 l; q7 D' b9 v1、这些方法都可行，但不是太可靠。

1. <script language="javascript">
   
2. if( top.location != self.location) top.location.href=self.location.href;
   0 E2 T, e" F4 o: B0 O+ J6 q
3. </script>

复制代码

或

1. <script language="javascript">
   ; o  Y+ j: k5 h" m3 N) f8 g' i
2. if (top.location != location) top.location.href = location.href;
   $ O; N$ l; O: Y
3. </script>

复制代码

或

1. <script language="javascript">
   4 a' Z  o. x7 R; H. m- Q
2. if (top.location != self.location) {top.location=self.location;}
   
3. </script>

复制代码

或
# l4 F- {% b# I/ h

1. <script language="javascript">
   
2. if (top.frames.length!=0) top.location=self.document.location;
   + n* F. S$ h8 N  J
3. </script>

复制代码

不可靠的原因：
当别人用如下类似代码做IFRAME嵌套调用时，就可能躲过你的页面的javascript代码。
$ r9 q  f( M3 w$ A( g9 [$ c5 N

1. <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv"  framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
   8 \( H( t3 M& ]
2. <script language="javascript">
   
3. var location="";
   . ?7 m, T4 g0 W5 Y0 M
4. var navigate="";
   
5. frames[0].location.href="";
   
6. </script>

复制代码

或

1. <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">

复制代码

或
5 |  q4 ]# O7 t' g

1. <script type="text/javascript" charset="utf-8">
   0 q; y# ^& g. u" h5 |9 _/ Q
2. document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');
   
3. </script>

复制代码

2、代码层次的屏蔽，方法可行，但不是很人性化。
" t+ [" m% `$ \Meta标签方法

1. <meta http-equiv="X-FRAME-OPTIONS" content="DENY">

复制代码

PHP方法

1. <?php header('X-Frame-Options:Deny'); ?>

复制代码

Apache主机方法
9 F5 A+ ?/ Q. g& H$ a6 I/ I

1. Header always append X-Frame-Options SAMEORIGIN

复制代码

Nginx主机方法
6 S. E- V" T) `  c( E8 M

1. add_header X-Frame-Options "SAMEORIGIN";

复制代码

! h( f( T  I% _4 Q; a.htaccess方法
6 U, m7 M- W$ U1 B, {5 [在网站根目录下的.htaccess文件中中加一句
1 ?0 t! S8 a+ f: s2 r

1. Header append X-FRAME-OPTIONS "SAMEORIGIN"

复制代码

8 Z8 w* u9 B$ n: `, VIIS方法
* {' \0 d% G4 a$ m在web.config文件中加

1. <system.webServer>
   : |6 x: I, f) X, s" _/ p
2.   ...
   1 V3 V4 Y6 P7 c1 p
3.   <httpProtocol>
   9 K* [, p0 B1 S1 d! c1 z
4.     <customHeaders>
   . T3 ]8 m* f; B  l* P" \) \; K
5.       <add name="X-Frame-Options" value="SAMEORIGIN" />      
   7 J9 F3 f: L: r/ a9 j# X  `) N8 V# w
6.     </customHeaders>   
   , |4 V. |) u3 V. \9 i. ?
7.   </httpProtocol>  
   2 r) f0 e' [6 C4 ]8 X
8.   ...
   
9. </system.webServer>

复制代码

之所以说不人性化，是因为这样操作之后，别人iframe会显示服务器拒绝之类的信息，虽然是屏蔽了，但是自己网站也不能宣传了。
( g& z' F6 N* @# p4 z4 o  Q6 I; p
' S5 ^0 Q; G; Q+ V/ m3、推荐解决方法。

1. <script language="javascript">  
   , Z+ u* T) B  u- y! a4 b; T' E
2. if(top != self){
   & D, x# w( l( x
3.     location.href = "http://xp6.org/iframe.html";  
   , Q, }0 u6 D" `7 V
4.     top.location.href=self.location.href;
   
5. }  
   
6. </script>

复制代码

将上面的代码复制到需要屏蔽页面<head>里面加载。
  b- A+ j- P# f+ I' R4 A6 P制作一个iframe.html页面里面放张网站宣传图片，加个链接，放到网站根目录。
6 |8 t' R; T' O/ b- o+ C8 Q/ f原理：
: P- U; v5 u4 u% e% ?: [' x第一步直接强制访问咱自己设定的iframe.html页面，如果网站禁用了JS跳转，那么执行到这一步就结束了，这样即使他们iframe了咱的网站，看到的只是咱的图片宣传页。
第二步，如果没有禁用JS，那么会接着执行top.location.href=self.location.href; ，然后跳转到我们的网址页面。
6 a1 T2 O) ]" K* {& n目前测试这种方法没什么问题。

: i$ O+ `: P* h7 Z