搜索
查看: 14573|回复: 0

[网站] 如何防止自己的网页被别人iframe嵌入

[复制链接]
发表于 2020-11-16 17:30:36 | 显示全部楼层 |阅读模式
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。' V" x5 Z" {! V6 N. j$ t" Q; H
这次讲一下如何防止自己的网页被别人iframe。5 ]% p7 B% n$ R2 Z& |" y+ S% T

& ~3 |7 f1 A5 V6 T5 G1、这些方法都可行,但不是太可靠。
; j* E& y) E- [2 E/ D% @
  1. <script language="javascript">
    / P$ F" C- _& H/ o  T0 K- s3 ?& Y$ L
  2. if( top.location != self.location) top.location.href=self.location.href;' J2 L" ?2 V: M. ^- U
  3. </script>
复制代码
# }) M; ?/ C; H7 c" m+ q& ]: T1 g
  1. <script language="javascript">' M8 f( D4 C( r7 d# n/ E) W8 }  \
  2. if (top.location != location) top.location.href = location.href;4 I1 D  L' ~4 B0 d! k/ P/ \1 C
  3. </script>
复制代码

. W2 w' k) h/ \7 Y/ w
  1. <script language="javascript">
    ! A  q- `; w& z+ Z
  2. if (top.location != self.location) {top.location=self.location;}
    & T5 Q$ }, b7 S5 K/ P
  3. </script>
复制代码
6 j; P0 h& U+ O# _4 k& ?( y
  1. <script language="javascript">
    $ t" G" k4 k, d. d( y4 d
  2. if (top.frames.length!=0) top.location=self.document.location;
    ) D+ k) F3 H" F- }+ Q
  3. </script>
复制代码
不可靠的原因:! e9 d, e* i' w1 U
当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。% w& i/ }  K; C& Z% o
  1. <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv"  framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe># P4 P$ f, j+ u* T' u; ?; k
  2. <script language="javascript"> ! s2 I& f$ O+ p8 _
  3. var location="";
    7 w- b" N6 Y4 ?# C# ~
  4. var navigate="";: k& o& d5 Y6 ?- ?
  5. frames[0].location.href="";. S" i! h2 `% S' i. E  T9 \
  6. </script>
复制代码
3 c& P+ n5 p1 O& }) a, q
  1. <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
复制代码

$ x( z% r5 f- M  e, E) `( C% _% W% r$ I' r, ?
  1. <script type="text/javascript" charset="utf-8">7 h! v3 C, S8 ^$ M3 @8 p: F
  2. document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');+ H0 p4 t0 `* D1 w" y8 b3 p- U
  3. </script>
复制代码
2、代码层次的屏蔽,方法可行,但不是很人性化。# V" A; x( M# c2 s: e
Meta标签方法+ e( B' K0 u3 X  |6 ]
  1. <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
复制代码
PHP方法3 w% C  \" v+ A- w7 u8 ]: l
  1. <?php header('X-Frame-Options:Deny'); ?>
复制代码
Apache主机方法8 y; C5 V  M3 v5 }5 a! ]
  1. Header always append X-Frame-Options SAMEORIGIN
复制代码
Nginx主机方法
( k2 y7 [8 O7 b( Z! _
  1. add_header X-Frame-Options "SAMEORIGIN";
复制代码
4 {7 j( n$ `( C* Y  b/ R
.htaccess方法) W+ c7 p9 j) K7 K, ~
在网站根目录下的.htaccess文件中中加一句
7 U1 H% v8 M, Y
  1. Header append X-FRAME-OPTIONS "SAMEORIGIN"
复制代码
7 Z& L  F- K( _9 M1 c% p
IIS方法7 K3 T8 G( j3 V  P. O
在web.config文件中加
  1. <system.webServer>
    - Z6 u9 o3 @! i$ T+ J
  2.   .... u+ c* t9 v3 s8 s
  3.   <httpProtocol>! h/ p1 X4 o) d/ F6 ~
  4.     <customHeaders>
    " L# D- O2 \# V9 l7 {0 i
  5.       <add name="X-Frame-Options" value="SAMEORIGIN" />        `; h5 P- E: Q
  6.     </customHeaders>    " g. {  C5 f* F  Z( y& u5 v  n6 R
  7.   </httpProtocol>  + I; D# S9 h- F
  8.   ...
    . o/ B9 \4 I+ |: `- {+ [
  9. </system.webServer>
复制代码

) ~* k7 G3 m* n4 m  f6 A之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。
0 P  \0 s4 j6 E) `6 m! B3 V5 Y0 T  ~7 ^; D8 o% n5 t- T+ J) ?
3、推荐解决方法。+ B1 D7 m5 t$ J
  1. <script language="javascript">  
    : r, n# _/ e6 _* |4 t  \; Z
  2. if(top != self){& b0 q! S: t) `1 f' Z5 o( |. y; @
  3.     location.href = "http://xp6.org/iframe.html";  
    # Z/ G0 w6 t5 `5 J
  4.     top.location.href=self.location.href;
    7 B' E' Z! H8 p% S5 V0 N# p
  5. }  . r. _: M% b# I
  6. </script>
复制代码

8 v8 v8 |) ]' u8 H  K2 v将上面的代码复制到需要屏蔽页面<head>里面加载。: w9 y$ U4 r" U% I4 q6 l0 X) N
制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
& `& `5 {: K$ C1 c+ b原理:7 f) k2 ^( v9 H. Q* R
第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。  ?2 i$ F4 a' }3 _% Q/ j) J
第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。& l) N$ ?7 D9 J9 I4 t# ~1 s
目前测试这种方法没什么问题。
  t5 b* {/ j) ?/ a
+ i% ^! x, N, W
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册帐号

本版积分规则

热议作品
精华帖子排行
精彩推荐

虾皮社区,成立十年了!

站长自己也搞不懂想做个什么,反正就是一直在努力的做!

Copyright © 2007-2019 xp6.org Powered by Discuz

QQ|Archiver|手机版|小黑屋|虾皮社区 鲁公网安备 37021102000261号 |网站地图
返回顶部 返回列表