|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。
5 f% G2 A. P* U$ S# Y# C7 b- R这次讲一下如何防止自己的网页被别人iframe。
8 B' D1 G& k a5 O4 Q$ f' W
3 B5 n& x1 J$ E- Z5 ?4 o1、这些方法都可行,但不是太可靠。" v' L I7 _: o8 J% M: Y9 t
- <script language="javascript">! g8 W! f1 f. d6 G
- if( top.location != self.location) top.location.href=self.location.href;2 S5 [7 |) {' @
- </script>
复制代码 或
$ ]2 y/ ]5 B+ s( x/ r- <script language="javascript">. O3 F4 J7 M0 M0 a
- if (top.location != location) top.location.href = location.href;
4 `9 l5 n- D6 ^+ t# C& B* u, U, a' a - </script>
复制代码 或4 S6 o: W3 J% f- n1 K i
- <script language="javascript">& b2 z3 n7 S9 c2 x, v! N
- if (top.location != self.location) {top.location=self.location;}
3 b: B( k! L8 g% } t7 G L* i - </script>
复制代码 或5 ]- G2 [5 s' ^3 {% G7 k& ], O
- <script language="javascript">
6 r) e" w! { X' ~7 R - if (top.frames.length!=0) top.location=self.document.location;8 a* d- B: d& l0 X+ O
- </script>
复制代码 不可靠的原因:( z3 A9 ?7 I6 {
当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。- K* K7 C. J7 R* O6 B. V
- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>7 t, `3 e4 C3 `- J Y( `! x
- <script language="javascript"> % P9 v) I% l4 p9 P: [! D
- var location="";+ f( }, [" c- G ~+ W, }
- var navigate="";
& g$ l K/ Z! V6 D8 S2 K2 s3 } - frames[0].location.href="";, ?1 G7 D- h* T7 x
- </script>
复制代码 或: S6 E' H. ^; V
- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
复制代码 或
, W1 v/ T# F: t% m4 @! Z8 Q c. G% w
- <script type="text/javascript" charset="utf-8">
+ W* u+ l+ S: k& G6 n - document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');
9 J3 |# I+ T) K4 |, g( d1 w - </script>
复制代码 2、代码层次的屏蔽,方法可行,但不是很人性化。, ^& z' S( `! S0 A9 c( x3 ?) S1 \
Meta标签方法
* I" h8 Q/ a' e2 u- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
复制代码 PHP方法
0 k1 a$ P4 ^0 h6 l, ~$ l+ y0 v- <?php header('X-Frame-Options:Deny'); ?>
复制代码 Apache主机方法0 z: M H% H2 J
- Header always append X-Frame-Options SAMEORIGIN
复制代码 Nginx主机方法) U% e( {+ f7 Q' `; ]3 a
- add_header X-Frame-Options "SAMEORIGIN";
复制代码 ' U( R1 g3 p: B N# s8 x1 d
.htaccess方法/ W! A f- b' R- N* n
在网站根目录下的.htaccess文件中中加一句, f& }# w9 e5 Q& ]
- Header append X-FRAME-OPTIONS "SAMEORIGIN"
复制代码
- k9 U& P* R& }2 s0 n4 oIIS方法
) O5 q: f" L# L4 X- j0 u在web.config文件中加- <system.webServer> j8 t3 q& E/ B5 x( p
- ...* R0 D! }9 d' ~
- <httpProtocol>
8 U$ M! L3 t) m9 o' o9 g3 E - <customHeaders>: p. `: R/ j( i5 S) r
- <add name="X-Frame-Options" value="SAMEORIGIN" /> - N3 P& i: Z1 ^( f, \; U" n- Y
- </customHeaders> $ j& t, D& S) k9 g" O }
- </httpProtocol>
9 R" N+ I3 y3 B, z3 r) C' V/ \ - ...
: X* x2 | O, L, p& E. \: V - </system.webServer>
复制代码 5 h) r4 |. T( O; o2 V
之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。
5 {8 H# w" V; z5 J1 q( u, Q; Y8 r4 W
3、推荐解决方法。9 _! L$ ^4 X! Y& {, j* M/ J
- <script language="javascript">
) f2 o1 ^( x! e: X# K) @ - if(top != self){
* K A! b. d+ Z3 b. e - location.href = "http://xp6.org/iframe.html"; & m/ `- t2 q& F0 Z, x' @ W% W
- top.location.href=self.location.href;
. W3 o" }, E8 ?8 I" Q - }
2 V* s8 A- S9 V1 I+ f8 r3 a# J - </script>
复制代码
7 s# _0 u9 q9 K _- i将上面的代码复制到需要屏蔽页面<head>里面加载。
" Y0 p5 y% D4 u; A1 q制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
* m' o- a. s4 `* ]* j原理:; l; E6 _ [5 X
第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。
4 L: L* Y8 j7 H第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。
& W, E' M* D' D+ {9 E: m目前测试这种方法没什么问题。0 m7 g" d0 y8 M
' {3 r1 i% O" ?# \
|
|