|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。
) {+ h3 f; t7 j* b9 V这次讲一下如何防止自己的网页被别人iframe。- a* f2 Q; M7 E/ ?1 q' v
: Z) y" {) X/ \. A$ `2 H1、这些方法都可行,但不是太可靠。
* _$ R3 s& f. Z- <script language="javascript">
% A/ p+ g% D& U5 Y - if( top.location != self.location) top.location.href=self.location.href;0 D8 x: P: W3 `, w& L3 l- u4 x
- </script>
, a- }9 K( j( s& K- |1 P* o. S% _- <script language="javascript">
% L+ u; z- n6 V* P - if (top.location != location) top.location.href = location.href;
+ y' `8 Y, c' B. e& Z/ l% m3 j2 q - </script>
- <script language="javascript">- |. u6 l8 i6 ]$ T/ t! l+ F8 d; {) w" x
- if (top.location != self.location) {top.location=self.location;}
6 M8 J+ C: v. B( M1 j - </script>
- <script language="javascript">( o9 O8 ?9 l9 k5 G, C9 W- e9 p
- if (top.frames.length!=0) top.location=self.document.location;
" Z3 F7 K: K* X9 V - </script>
7 f5 O. z6 @& P3 m8 e2 O. d当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。
7 C& M9 Z+ X4 e* z* Y: X, y0 |; O5 u- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
' }+ q1 F, @! l# `) h0 Q& T* m - <script language="javascript">
" ` S6 L& J o( P4 W' t7 {/ X% I O - var location="";/ z" A! u, u9 G+ q% ?! _4 b! l/ ^
- var navigate=""; | o2 E D: _ _9 j
- frames[0].location.href="";$ w7 E3 ~: k1 c" i% K
- </script>
% k3 P1 }, l3 B* d+ e* l' y K! r6 [- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
" R- c' }; m3 D/ j0 C7 T! T, _
- <script type="text/javascript" charset="utf-8">
y# P- R" [) I - document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');
6 t, Q+ ^( w) L A$ S - </script>
Meta标签方法/ E! L- G$ k& ?% Q0 c
- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
# H! m( a2 B1 \8 a$ I6 ` R# W U- <?php header('X-Frame-Options:Deny'); ?>
- Header always append X-Frame-Options SAMEORIGIN
1 D, ?* I3 {( w' x+ n& O; x- add_header X-Frame-Options "SAMEORIGIN";
. g7 ]( M) }* N( b.htaccess方法6 I" |. Q0 ?5 U' o
在网站根目录下的.htaccess文件中中加一句3 e y5 X& W5 z9 A0 P. _
- Header append X-FRAME-OPTIONS "SAMEORIGIN"
IIS方法/ i; t4 j# M& b7 h
在web.config文件中加- <system.webServer>% W( [4 X9 N9 y/ V
- ...! y+ g! h/ b2 }
- <httpProtocol>) L7 m. c' \* F! T1 k1 L/ g+ H
- <customHeaders>
$ \" c, c- Y9 d( C/ Y - <add name="X-Frame-Options" value="SAMEORIGIN" />
# g/ \% S# I4 r. }/ J - </customHeaders>
$ a2 {! v- H+ h# h - </httpProtocol>
# B9 R- W/ J4 z - ...
4 D# i4 v# v2 i - </system.webServer>
9 H o! P# n* R: X之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。8 P# [/ C% T& b7 e' e* J0 L3 C
: L4 n, o" W# _) W$ F/ h$ Y: _" V" \' l3、推荐解决方法。
1 @) ]1 B3 }3 s; B- <script language="javascript">
. W! i+ q: X# b: o - if(top != self){5 J2 J) M, y! s% f9 a% q- O" r# C" r
- location.href = "http://xp6.org/iframe.html";
7 q. h' M1 G7 @" [# y7 B- q# l - top.location.href=self.location.href;/ x9 U% K% m) t: L* w9 z
- } & h* Z; P2 B; U" f
- </script>
将上面的代码复制到需要屏蔽页面<head>里面加载。. b% v6 R3 c& G* d
制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
* ^$ r, { Q; f: Q1 @原理:
: y. W0 t( P) O0 {" A第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。
/ {1 I& ]# V2 K. x3 E第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。. U% Y* K2 ~1 t) P8 E
目前测试这种方法没什么问题。8 I( N* N$ R D& k% \- ^, J1 u
4 `% L" R6 k: L9 ?* U |
|
发表于 2020-11-16 17:30:36
千斤顶
显身卡
鲁公网安备 37021102000261号