|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。
; L4 \" F; h4 W. R这次讲一下如何防止自己的网页被别人iframe。: f1 v% l3 c2 Q0 H/ U
' C( F/ [* z4 X' n. t* o1 `5 Q. d
1、这些方法都可行,但不是太可靠。
/ B; ]7 e; t+ ~5 v. d4 X- <script language="javascript">
; @4 Z$ ]( x4 H - if( top.location != self.location) top.location.href=self.location.href;. a0 h0 w% Z! n
- </script>
5 a# ^4 \1 a) W2 J: w( r' b0 h1 F- <script language="javascript">
8 H( `. W: z z; _ - if (top.location != location) top.location.href = location.href; f# \0 k u4 w
- </script>
- <script language="javascript"> Z& j, `: ~7 z& c
- if (top.location != self.location) {top.location=self.location;}
% [; s X. U4 L- L7 v, p: u; h, @ - </script>
- <script language="javascript">& C) X' A: n E$ g' b" m
- if (top.frames.length!=0) top.location=self.document.location;/ o% h7 c9 H( e4 ~& d) W
- </script>
当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。# K. W" r; \, Q) `' u6 R
- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
( w) N0 ^9 m8 V5 T; z* E - <script language="javascript">
2 A7 h9 n+ r( ~% | - var location="";% c5 m6 I3 E& \' T1 i4 ~( q/ m
- var navigate="";
1 \# N# L; ^. F' j. a$ t8 K2 O' N! ^" T! z - frames[0].location.href="";. R& d# m& A$ i' ]1 R" o
- </script>
7 [2 I+ f3 M$ G3 x- O+ x- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
2 J3 X# b0 d/ _- |/ u5 x. ^- <script type="text/javascript" charset="utf-8">$ _/ F9 G2 v5 b
- document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');$ m# m4 ~: T; _ H9 A2 L% U" U
- </script>
Meta标签方法9 _/ H3 N- ?# I) J/ ?
- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
- <?php header('X-Frame-Options:Deny'); ?>
- Header always append X-Frame-Options SAMEORIGIN
2 x! b! g2 z$ P! x- add_header X-Frame-Options "SAMEORIGIN";
.htaccess方法9 \4 i% \; ^, n' C+ l; ~! D
在网站根目录下的.htaccess文件中中加一句
% W/ _7 W3 `$ Q- i- Header append X-FRAME-OPTIONS "SAMEORIGIN"
5 J" u' B& R. }" a6 C0 q0 |; xIIS方法" b: ]7 |; S" x( ~8 E
在web.config文件中加- <system.webServer>
7 h* a) U. a( T( j S - ...% \) V" @/ A8 b
- <httpProtocol>
0 B$ `# h& F( J! c) K- s( m - <customHeaders>/ I4 H! t# H6 P* f* U
- <add name="X-Frame-Options" value="SAMEORIGIN" />
! @1 a% e9 V+ k2 \) j$ ~; G5 C - </customHeaders>
2 G' F0 @2 I% x/ p% I r, C - </httpProtocol> 3 R9 D( Q! K1 r0 q# ^
- ...) S! O( _- H0 Z. ^; f0 C
- </system.webServer>
之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。
; b/ u0 S& {$ @4 o& {) z% R; J5 D) { d0 N. B- ]: a' t5 S! L* |
3、推荐解决方法。
: O2 j+ y6 d3 D; k) E- <script language="javascript"> 3 w- G l) \# \
- if(top != self){4 O6 A7 r2 ?5 C$ K9 |
- location.href = "http://xp6.org/iframe.html";
0 u: M+ e) y; P1 C - top.location.href=self.location.href;, `# E8 c3 N8 u! b% e
- } + M3 a0 @/ l( d) H7 R9 ]
- </script>
5 `. g) E8 c4 `, t3 w将上面的代码复制到需要屏蔽页面<head>里面加载。
* ?. B8 L! k' W: s+ C$ j制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。2 e9 }! p) m8 H( v+ Z) p
原理:! S8 c6 _, }, Q q1 E5 P
第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。7 q$ `- G Q7 d5 r
第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。
1 }+ P+ ^; @* F7 B9 Y目前测试这种方法没什么问题。$ x+ E7 j2 w4 M3 q, C
, u8 H' x4 a; z9 ?
|
|
发表于 2020-11-16 17:30:36
千斤顶
显身卡
鲁公网安备 37021102000261号