|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。
# h* ]. J& p- l( R这次讲一下如何防止自己的网页被别人iframe。
2 Z! m: r5 Y, J5 p6 S g" n1 Y* n/ Q1 f; C5 d
1、这些方法都可行,但不是太可靠。8 z0 x8 I1 X1 j
- <script language="javascript"> J4 {, G6 M0 K" d- G. {
- if( top.location != self.location) top.location.href=self.location.href;
& _' l: c% K" t- l, G2 L! e - </script>
复制代码 或
+ m4 x9 w& o. W2 x: b3 s9 e- <script language="javascript">( U" s2 ?/ k; P. n
- if (top.location != location) top.location.href = location.href;
* Q, M: S |3 J* r - </script>
复制代码 或' u5 N! W$ N) S! N
- <script language="javascript">
`& j7 u& J5 w7 i1 a7 R - if (top.location != self.location) {top.location=self.location;}
6 V. Z$ Q" W" E, r# O - </script>
复制代码 或
; J% F h3 H! X, J) A7 @- <script language="javascript">
8 e& h B! M: M! x, t' ^! |1 p - if (top.frames.length!=0) top.location=self.document.location;9 B1 k: w \. U' a( n& i
- </script>
复制代码 不可靠的原因:" `# ^# M$ U8 Z. L+ @
当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。
# e8 {; ~4 T9 D% i J- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
: g0 O( x8 f: E# x _, t - <script language="javascript">
Z- H' c4 D0 f O K1 j - var location="";) M# C$ C3 C) K& A& Q, C
- var navigate="";
" M- i% f) H, _/ p' w+ E - frames[0].location.href="";; O8 q9 D9 ?: C" X
- </script>
复制代码 或
: @( g+ C* N. ^8 B7 f- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
复制代码 或
]/ c ?3 [, p& i6 s" A6 W3 |' g6 r: S" L' V( L
- <script type="text/javascript" charset="utf-8">
: X4 o' A( L# K. M9 f2 j; E - document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');+ U& ~! i% O* s, [
- </script>
复制代码 2、代码层次的屏蔽,方法可行,但不是很人性化。+ N$ b" j* `" m7 J+ {, ]! Z
Meta标签方法0 _6 p* S# Q5 f: p: E7 G
- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
复制代码 PHP方法& F( v, E" I* C0 V+ J* y
- <?php header('X-Frame-Options:Deny'); ?>
复制代码 Apache主机方法
# D0 d& ?: V$ a. h' P; i+ M) n- Header always append X-Frame-Options SAMEORIGIN
复制代码 Nginx主机方法. y7 A; L# |3 w0 G
- add_header X-Frame-Options "SAMEORIGIN";
复制代码 ! y, S4 C9 G+ c. Q. l0 p4 Y9 q
.htaccess方法) w- P) |" v- ]
在网站根目录下的.htaccess文件中中加一句0 Q: s) X$ l2 @5 @) t. G o; A/ Q8 p
- Header append X-FRAME-OPTIONS "SAMEORIGIN"
复制代码 1 G i m1 G- O9 l
IIS方法
1 ^% E7 g9 Q/ r5 L在web.config文件中加- <system.webServer>
?! n! M7 [( M+ X. V5 G/ s - ...6 S) g& u6 O: x j- l1 K
- <httpProtocol>
8 I* N# E: _: s) Y - <customHeaders> ?9 k1 o; f- C, o& c
- <add name="X-Frame-Options" value="SAMEORIGIN" />
$ o0 `# c% ]% H- F X - </customHeaders> " y/ D, c- J& ~4 p
- </httpProtocol> ! v7 O! n& r2 S# ]
- ...
( {3 y* t/ x3 N: w - </system.webServer>
复制代码
& ^( Y" v+ r) {/ Y5 d# |4 S之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。8 O: [7 |$ k4 \
7 k/ G4 l& n( G c1 _0 L0 B0 e
3、推荐解决方法。) W" N; X4 \3 Y/ x0 m) N
- <script language="javascript"> * ]* F8 o$ w; k
- if(top != self){
) O' P3 }* q4 Q - location.href = "http://xp6.org/iframe.html"; 9 f. C, ^ L/ U- ~
- top.location.href=self.location.href;
" @. ^6 Q; {/ y9 W8 D) m - } 2 _' j5 m( R3 a5 y Z! H& _
- </script>
复制代码 ; e$ y- g$ M; e/ @! u! v& p4 i
将上面的代码复制到需要屏蔽页面<head>里面加载。9 m0 b. h& ` v
制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。! Y p5 J2 W$ ?! _
原理:
" b- `1 R, y4 k' m: s第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。
# D9 c7 v% r: f. E第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。0 U+ _9 e9 C( A3 _- _2 B' W
目前测试这种方法没什么问题。; U. P" t: J0 M: Z l8 F
0 v: \9 n- C" a8 r2 \ |
|