|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。6 B2 `1 ]7 \' e, t/ h
这次讲一下如何防止自己的网页被别人iframe。
7 F& v% J& J4 G3 a: k3 |3 _
) l$ y- D# {- h h" X1、这些方法都可行,但不是太可靠。& b4 D+ R& E w$ v1 D4 x
- <script language="javascript">
. n& d4 B \9 \0 E8 j: g) h# |2 ] - if( top.location != self.location) top.location.href=self.location.href;, r8 P) I$ {0 j/ T, ^- @4 c& }% j
- </script>
复制代码 或* H& t7 u. a0 |! ]
- <script language="javascript">; V' X* O1 _. _( o* R
- if (top.location != location) top.location.href = location.href;! D) q6 P- p2 Y" C# u7 }* }7 |
- </script>
复制代码 或& x# ?. i4 g! e7 T6 C( U8 u
- <script language="javascript">* a! i* g7 m( H& `' E- t" r# K% u+ l0 U
- if (top.location != self.location) {top.location=self.location;}5 U$ u8 q& U! h" L3 E- l
- </script>
复制代码 或, b5 ~& f0 h+ ~( d
- <script language="javascript">
2 ~) ]+ G" r5 f; i8 ?$ Q) w* ?% f - if (top.frames.length!=0) top.location=self.document.location;% w3 r& O& ~4 V) M/ G- r
- </script>
复制代码 不可靠的原因:
) C8 K: \: T' X( f* ~当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。
- L$ Z5 \: J/ P( v; Q6 H- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
" h5 l) ` G* W; x' z9 t8 Z - <script language="javascript">
# S! j$ ^/ \3 k/ K) C - var location="";, P: `- a: t, T1 o7 c% A! l r: o2 y
- var navigate="";
# x9 ~( D, r9 y8 P; T8 ? - frames[0].location.href="";
" B7 e# R7 z/ {- o' z* {" ] - </script>
复制代码 或: |, H) ]% n% D; Z6 {
- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
复制代码 或* P' v3 r! o' W/ F# {7 v
$ M7 ~$ J8 i8 A6 n5 h
- <script type="text/javascript" charset="utf-8">
; u1 U( ?4 i9 O0 b& w2 A, X - document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');/ U7 F$ u( U3 c# |
- </script>
复制代码 2、代码层次的屏蔽,方法可行,但不是很人性化。1 A, |3 W r( y4 ~; M4 {' D
Meta标签方法) e- ]3 ~, Z! A; Z+ H# k
- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
复制代码 PHP方法
3 P# l2 a) f- D5 E7 B) ^( w' P- <?php header('X-Frame-Options:Deny'); ?>
复制代码 Apache主机方法: p* ]2 y6 R4 E# M. s+ x
- Header always append X-Frame-Options SAMEORIGIN
复制代码 Nginx主机方法! { X0 n" I" M! `& J a
- add_header X-Frame-Options "SAMEORIGIN";
复制代码
# S1 j7 h! E* n2 o( w.htaccess方法
& n) c, K# C. P$ ?# b/ v& Q在网站根目录下的.htaccess文件中中加一句' J) x; W& f/ g* i: ~( [; x: R) ]
- Header append X-FRAME-OPTIONS "SAMEORIGIN"
复制代码
% i. Z1 ^8 B, n5 E' KIIS方法/ y" }7 X8 d; z+ J5 h# n" ?
在web.config文件中加- <system.webServer>
6 ]5 b9 N: i, y- N: S; q T: }/ F - ...
( L9 I7 ]( S, f7 R - <httpProtocol>
! i! g; {8 Z0 r4 i - <customHeaders>& ^* v0 P" a5 t" E8 N! U K
- <add name="X-Frame-Options" value="SAMEORIGIN" />
$ e, B& B4 R' |# Z" J: d) {' N6 Y - </customHeaders>
; r3 u" R. g4 x5 _1 _; L- S9 E; }, \: P - </httpProtocol>
) A5 \) U% s. ?( z) }6 v - ...
1 [6 i7 o( L# s ? - </system.webServer>
复制代码 9 ^8 D. K/ l2 ]/ H+ \
之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。
- s9 w& Q! w7 g8 ]& Y# B- k% n) w. }( `" v6 ]
3、推荐解决方法。
9 E W3 O8 f y* ^7 A9 ]- <script language="javascript"> & C# f* P3 v0 e: {6 U0 }, Z8 V, q6 o
- if(top != self){
+ ]# C( b2 \0 l8 t5 ]* s4 l, K, @ - location.href = "http://xp6.org/iframe.html"; " J5 T! K1 z$ P/ A8 M
- top.location.href=self.location.href;
; Q6 C+ r8 c) A/ R3 d1 B2 g5 N - }
3 }# O1 b8 q$ g6 }/ h+ O" Y - </script>
复制代码
5 |% C* ~! W" M9 N( Z* H将上面的代码复制到需要屏蔽页面<head>里面加载。
$ m+ V5 T3 _9 V `* k制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。7 o8 C8 |7 j7 X5 ?
原理:* @) ]$ l5 S. h) K4 g1 L
第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。
( `' v0 ~6 ^7 l第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。5 a$ N# O7 x$ H: x9 Q
目前测试这种方法没什么问题。5 S/ K& u- b1 U$ }8 x7 v' T6 W* n! v
- r! z( V: w' |: ~
|
|