|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。- Z( r: v8 {+ Q/ g
这次讲一下如何防止自己的网页被别人iframe。+ y5 v2 j9 l% b+ P$ G
: k4 b! X2 p+ u: {; o9 X
1、这些方法都可行,但不是太可靠。
; M( q2 `- z) w( u" W- <script language="javascript">' K/ Z- b- z4 ~& s
- if( top.location != self.location) top.location.href=self.location.href;9 t0 Y( C% {4 I4 y G/ a$ ]/ |
- </script>
复制代码 或
; X& R' C9 p: p- <script language="javascript">
8 z: \$ H1 O/ T; c - if (top.location != location) top.location.href = location.href;
* b1 Q1 g4 V% @* _% b6 s - </script>
复制代码 或
$ W1 {+ U3 a1 V' K- <script language="javascript">$ z/ Q4 n8 ^2 a. L5 C" K2 u
- if (top.location != self.location) {top.location=self.location;}
( a0 y! f8 T4 D - </script>
复制代码 或, n9 z8 M' }. l3 r
- <script language="javascript">
) I5 g/ _1 e3 G! g' U. a/ S - if (top.frames.length!=0) top.location=self.document.location;. Z; a) ?- c0 _. h
- </script>
复制代码 不可靠的原因:' x2 b" S. r J8 |$ ~ [3 _
当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。
* w' j2 S2 a* b' F; b% K7 \( P$ d- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
2 D# N1 N- T: k; R& q5 Y, V$ v7 Q- Y - <script language="javascript"> % a, J; Z* C/ E8 o5 C
- var location="";
, l. G# h) p0 [ - var navigate=""; n' u7 Q' P3 i
- frames[0].location.href="";- {8 q$ @$ H1 w7 d& v
- </script>
复制代码 或 d3 t. s+ W- V8 S0 f
- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
复制代码 或0 n d& e# ]( }6 T! i, G
: T* f4 t; F3 B- y5 ~- <script type="text/javascript" charset="utf-8">
* }; J: v' u/ {" n - document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');
. s9 j- J* B* x$ z! f6 q - </script>
复制代码 2、代码层次的屏蔽,方法可行,但不是很人性化。; l: @3 `* @# A* Q8 |4 l
Meta标签方法 Y& h# w5 c& j& j; f* |
- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
复制代码 PHP方法2 a3 _4 m* s) C- z
- <?php header('X-Frame-Options:Deny'); ?>
复制代码 Apache主机方法
& @; |: g" w% T: d- Header always append X-Frame-Options SAMEORIGIN
复制代码 Nginx主机方法
) ^+ E* @' U$ ^+ I- add_header X-Frame-Options "SAMEORIGIN";
复制代码 ! y# D! g! p: ~
.htaccess方法. ]% |$ r' e* s: ]$ \5 h
在网站根目录下的.htaccess文件中中加一句
" b F0 r3 w5 ~/ t( O$ U5 H$ c- Header append X-FRAME-OPTIONS "SAMEORIGIN"
复制代码 3 ~ t. x4 _. ^* k5 p' n
IIS方法
% L# ?* U* R8 `/ _. _在web.config文件中加- <system.webServer>
! L4 \& M/ O5 [: H: K - ...$ `' d( u0 W/ i, b8 Q
- <httpProtocol># ~( z- s' u4 v! {4 m0 F a
- <customHeaders>; m: j" U' K" _; |5 d0 {
- <add name="X-Frame-Options" value="SAMEORIGIN" />
4 k' f, ?$ V) j+ i! T" f* E+ {; s - </customHeaders>
( P- F- V5 _* A/ v - </httpProtocol> : k4 D w9 i4 `1 r+ }* _# }8 T% l4 r
- ...) U2 j4 a* U4 `4 s5 [: t! A
- </system.webServer>
复制代码 ! ]" J1 f$ q8 R9 [2 Y$ u$ M
之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。
' n1 o+ Q; p0 D7 k
( U9 r) ~9 U+ j: V& ]1 @# C3、推荐解决方法。
) w3 P# _8 r6 E8 _6 V- <script language="javascript">
* d& Z7 K# l) B$ v: s - if(top != self){
7 _& b, n" Y1 e9 ? - location.href = "http://xp6.org/iframe.html"; - q" N1 U6 w2 t/ ?1 r( m5 [
- top.location.href=self.location.href;* x7 S( B% u7 v* d0 m4 f
- } e- ?2 z8 j) g8 N, O
- </script>
复制代码
. Z* P! z* x1 {) T5 ]! v8 o将上面的代码复制到需要屏蔽页面<head>里面加载。
. Q* f- C9 {+ M; E9 U8 }" x" D$ D制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
: [3 N6 R4 _/ W/ H' T- P8 |原理:/ b Q& D+ F. h8 \9 Y
第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。1 @7 n- @6 e) H7 G& a( Z% A, r
第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。/ j9 c5 D! z; a. }- Z
目前测试这种方法没什么问题。- b' G) B! r; {8 I
6 A- R- x$ \" ^2 r; D1 s: C( Z |
|