|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。" K% u. }" Q. X( p
这次讲一下如何防止自己的网页被别人iframe。
4 Q7 H1 f& ?5 P( J5 G; a& p% H% z" L. H
1、这些方法都可行,但不是太可靠。+ J/ c5 a+ M) O* S5 k" R" h
- <script language="javascript">
3 g3 T3 \. q; w - if( top.location != self.location) top.location.href=self.location.href;4 x% w3 G6 C( V2 B1 ?. ~7 c" [4 w# z7 _
- </script>
复制代码 或 n+ l2 C% ?& k! U1 @
- <script language="javascript">
1 q/ [6 T4 ?8 s! { - if (top.location != location) top.location.href = location.href;
: F; V* A0 ]& V( ` g4 T - </script>
复制代码 或
, ~- x7 @% O0 Z( p6 l- <script language="javascript">3 W2 K3 ~( \% y, v! a7 L7 G! m
- if (top.location != self.location) {top.location=self.location;}
$ {. M* ?4 A0 q7 O, G% d% W - </script>
复制代码 或. P9 D9 t' m- P
- <script language="javascript">
- F6 j( Y: M3 m8 z- f - if (top.frames.length!=0) top.location=self.document.location;
6 E9 {. F; h' q - </script>
复制代码 不可靠的原因:0 T+ E; g, w( V% |# F" o p
当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。
+ p n; H7 N1 |3 p" h% f8 Q! C- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>" C3 H! N" G$ \* ^* N# s/ q
- <script language="javascript">
. e% X. x9 s* g1 z - var location="";
% s- s/ w W5 p" o. U - var navigate="";# {# G1 O$ ]$ a/ f4 Q
- frames[0].location.href="";
( Q5 \9 x9 `3 C& z0 }% j& P - </script>
复制代码 或( ]' F3 X0 \- f. C3 N& t
- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
复制代码 或
5 i( O/ y, z! `
3 n* k' {9 y m- <script type="text/javascript" charset="utf-8">, h& j$ n2 N* T1 v. \
- document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');
. K" T6 U8 W z L" e - </script>
复制代码 2、代码层次的屏蔽,方法可行,但不是很人性化。4 K+ r/ Y2 I; D, P( x: x# v
Meta标签方法/ P7 Y1 J; }+ _: v+ z, z* a' ?- m
- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
复制代码 PHP方法1 W3 W/ [3 ?4 T- n( M
- <?php header('X-Frame-Options:Deny'); ?>
复制代码 Apache主机方法
3 a3 N& H7 J! L9 b- Header always append X-Frame-Options SAMEORIGIN
复制代码 Nginx主机方法
: I( f2 c; I1 a+ M* Y/ x- add_header X-Frame-Options "SAMEORIGIN";
复制代码 ) P/ s0 @4 l( Y5 N+ N% G
.htaccess方法; G9 M! z) k. i$ D) O* o5 j
在网站根目录下的.htaccess文件中中加一句
T3 _0 ?8 [+ W3 X$ y8 T5 w& U- Header append X-FRAME-OPTIONS "SAMEORIGIN"
复制代码 & m" N8 s. y; a: o1 A9 X
IIS方法
% Y4 p4 `' n, c在web.config文件中加- <system.webServer>
1 t. ]+ V9 N3 Y) S - ...% Q$ t: }* l/ b8 g: M0 d
- <httpProtocol>' y, O: \( V& ? k* n1 C
- <customHeaders>
% t' W+ A" j' G$ ^ - <add name="X-Frame-Options" value="SAMEORIGIN" /> : ]* ]7 M. ~ X6 y5 y& W
- </customHeaders>
$ W/ R* y! L* ?' r" P* A - </httpProtocol> 3 ^5 b' r! U2 |# q
- ...
) t" b+ v' J! i6 _1 @3 \ - </system.webServer>
复制代码
; E& e/ G1 @' C+ W, n* J之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。: f2 _1 V6 [. E. h
2 s, k8 R% }9 j# ]5 u+ R5 U
3、推荐解决方法。
5 z0 c, `, O% x5 s* U' k8 p- <script language="javascript"> 3 `7 p3 ?0 Y0 ?$ y" a+ z" ]
- if(top != self){
0 w' E5 F3 H% |, s - location.href = "http://xp6.org/iframe.html";
+ w5 T0 K @$ `/ g" Y - top.location.href=self.location.href;
1 C K# G) T9 @" }, _ - } # _$ f: v6 |4 K; A$ i: y
- </script>
复制代码
4 `0 R5 [1 \; V) x6 Y1 T2 h, n q将上面的代码复制到需要屏蔽页面<head>里面加载。4 N2 u0 a2 Z+ Q6 n8 U8 E
制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
, p7 G6 z$ z- ]/ y, Y原理:
3 F k' ?. a# Y9 C9 V4 c3 t第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。* o/ L' o6 o& U$ j! d4 D9 e5 c5 A, R, s
第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。 D5 \0 R9 l6 F# e
目前测试这种方法没什么问题。' \8 h. f1 t; v, U" s/ O" q' g
9 O! p: o! {( _1 l
|
|