|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。" x! R( m2 w) A# O+ D
这次讲一下如何防止自己的网页被别人iframe。' G% L. f- V' \) q) G( Y
2 d5 A0 e' p% N1、这些方法都可行,但不是太可靠。4 ?4 S4 C7 Y. \3 C+ S/ @. y% ^$ X
- <script language="javascript">
1 \$ W# i9 e. m1 g - if( top.location != self.location) top.location.href=self.location.href;9 m+ q9 o3 T* F8 E1 s
- </script>
- <script language="javascript">
* W8 r( w6 X5 R) g7 I - if (top.location != location) top.location.href = location.href;
" z. C* U9 i1 O' A) [ - </script>
- <script language="javascript">' b0 F0 z0 h$ P3 G9 @
- if (top.location != self.location) {top.location=self.location;}
; N" _' }; N8 O! u - </script>
- <script language="javascript">
. g2 e2 |. \! B. E' u/ w6 X - if (top.frames.length!=0) top.location=self.document.location;
* S6 w: O2 \* n - </script>
当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。
4 Z& p% X4 Y4 y: M- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>. M/ P8 R2 I D: J
- <script language="javascript">
* I( |1 e, H8 v; v4 C! C3 n - var location="";
8 }1 f' `5 F( E. s* m5 a/ j - var navigate="";
8 S) Z$ l3 w- U' b* }: W+ y5 s - frames[0].location.href="";
) ]8 o, \) o- M% ] - </script>
2 n& k( D8 I0 Z3 S7 @- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
* Z4 A7 v$ c3 l! [( M) L4 |3 S* l) b) d- S- a5 w
- <script type="text/javascript" charset="utf-8">
w# G- F9 A# u. N1 ] - document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');
' T1 E; T2 Y+ l' G& B* V - </script>
6 |2 Z8 m$ r* Z0 ~) B' H/ C8 rMeta标签方法
$ T! e' ~. I& @* Y4 K4 ^- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
1 G- |9 Y0 x6 N1 i3 J# b( I- T- <?php header('X-Frame-Options:Deny'); ?>
- Header always append X-Frame-Options SAMEORIGIN
- add_header X-Frame-Options "SAMEORIGIN";
% O$ r3 i8 L; y2 h3 A# t% Q: \" M.htaccess方法1 P+ B6 m1 ?/ u7 d: T$ E8 S
在网站根目录下的.htaccess文件中中加一句3 [! s8 f6 y) _* V
- Header append X-FRAME-OPTIONS "SAMEORIGIN"
+ d, u* C4 c$ |! p4 v2 sIIS方法: n4 |4 F* H4 w c" a5 y. l5 C0 ?: u" K
在web.config文件中加- <system.webServer>
( R$ t% i9 b8 k2 S# q - ...
0 L3 T" [% C- i - <httpProtocol>
! F1 j9 ~% x4 a' m) m5 } - <customHeaders>
) T* O2 W+ U4 R8 H9 p, ^. }( r - <add name="X-Frame-Options" value="SAMEORIGIN" /> % e+ r5 S d9 d0 Z' E6 L# Q( e' A0 r
- </customHeaders>
: x7 d) E# d' l! ?9 W - </httpProtocol>
1 S* I6 y9 c& o6 ~2 D - ...
1 H0 f& z* _& Y9 F$ M. M4 _ - </system.webServer>
3 c4 E( s% Z5 i4 y/ p( g' W之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。7 q" i) w% U9 B4 _9 g& H L0 Z
3 n1 A' w% R2 ~, q7 @ f3 Y3、推荐解决方法。
) Q; s5 m4 i' x- <script language="javascript">
9 j% T& E1 q7 m0 H1 n/ B9 u3 T - if(top != self){( \, t6 d" A3 E" W1 w9 B
- location.href = "http://xp6.org/iframe.html";
* e: X0 P. u' h' J% G - top.location.href=self.location.href;& s' {, {7 M- o" X: P, F1 w3 u
- }
7 `9 k5 B7 C8 D - </script>
将上面的代码复制到需要屏蔽页面<head>里面加载。( X9 O5 [3 z& `9 F) M' x6 Y
制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
4 D$ @; Y& x) w7 k2 j/ H4 f. g+ @原理: s o! p& ~; g& Y+ R$ E
第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。$ C4 ]6 Q! Z+ X' x+ d" B
第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。
$ r! b. b+ s# N8 y6 F8 U8 Z6 _6 b目前测试这种方法没什么问题。
8 l" P5 W f7 a* o3 ^/ p; g- X6 R; \+ b* L
|
|
发表于 2020-11-16 17:30:36
千斤顶
显身卡
鲁公网安备 37021102000261号