|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。
6 H" W# O: l6 b. x; K$ v这次讲一下如何防止自己的网页被别人iframe。
5 `( {0 \, V: p$ e: I4 ~; Q' `9 O6 X
, c1 _+ B# X, W3 ]5 x* E! W1、这些方法都可行,但不是太可靠。# R, I8 P/ Z- I( n
- <script language="javascript">
& J y* d- J- X. Y8 [" s; f3 }% v - if( top.location != self.location) top.location.href=self.location.href;
# [. a4 N( Y6 n* @$ A/ Z" d - </script>
复制代码 或
% Z, k; P1 O/ Z" k y# b- <script language="javascript">) ?9 D; f6 l- G
- if (top.location != location) top.location.href = location.href;
8 D& z6 q/ i1 |/ S N2 o* t - </script>
复制代码 或
1 l% z9 ?/ _5 g/ J. Z- <script language="javascript">
6 |/ H( R# p; s9 Y - if (top.location != self.location) {top.location=self.location;}/ p J7 B" x' `. m& t
- </script>
复制代码 或
- l; I! ^6 l# A- <script language="javascript">5 |7 W" F5 z" H, [ U0 }- D
- if (top.frames.length!=0) top.location=self.document.location;0 n6 b2 y. |8 x) B
- </script>
复制代码 不可靠的原因:
% B& {: a! j6 j4 }当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。; k* R5 R7 k- t' J
- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
3 M1 q% U* N0 k) e6 T! U ~9 G - <script language="javascript">
, P5 [' `6 n! W- F7 \& o - var location="";& Z" J$ i1 p: T
- var navigate="";
1 \4 ^/ D$ G0 B5 R - frames[0].location.href="";
7 A' ~% n6 r$ T( L - </script>
复制代码 或5 V5 X7 Y' R$ T4 y3 R+ [) I6 ?$ U
- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
复制代码 或) D! N4 i* }4 t- s H3 B
/ l6 o- H( j8 H1 p
- <script type="text/javascript" charset="utf-8">
5 B' d3 w- F* e2 e - document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');
' f* H- T: ^' p" l - </script>
复制代码 2、代码层次的屏蔽,方法可行,但不是很人性化。
0 K% A, D4 C* U$ L5 H8 rMeta标签方法# G- o0 [9 j( f+ w
- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
复制代码 PHP方法
6 R4 k, G. ]% l8 o% Q- <?php header('X-Frame-Options:Deny'); ?>
复制代码 Apache主机方法
R/ g. T& l# p) y. \% q/ l/ N# D7 E- Header always append X-Frame-Options SAMEORIGIN
复制代码 Nginx主机方法
* |8 l* t4 J6 w. P% E- add_header X-Frame-Options "SAMEORIGIN";
复制代码 2 r% J4 c2 Z1 h/ N; G {
.htaccess方法
: W/ c; n, d* }4 D0 F在网站根目录下的.htaccess文件中中加一句% u9 i' `6 T9 T; w
- Header append X-FRAME-OPTIONS "SAMEORIGIN"
复制代码
0 x8 I O6 T# b+ TIIS方法
& j5 h! M5 K' W( W4 e在web.config文件中加- <system.webServer>7 A: W% d. [% T& }! X: @
- ...# b# A& F6 S4 {( |* N7 m7 x( N3 k
- <httpProtocol> \. Z& o, U) [1 Z: V, S, d
- <customHeaders>' ^& O b' z. g5 ?6 C4 c6 X( C) G9 N
- <add name="X-Frame-Options" value="SAMEORIGIN" /> 3 m3 ]8 x5 p) {! k! E' ~
- </customHeaders> & d: U' j# o) s9 |( Z4 c; b, \/ }6 R
- </httpProtocol> ' [0 E& H! ~8 G0 T2 t
- ...
1 s+ v) ~- y- S$ f' c - </system.webServer>
复制代码
+ w d7 h* L0 V之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。( H' n' H: M; Y- n1 J
6 f! Q6 a! N- H& q, w( o5 w3、推荐解决方法。
' ]# X+ h- q4 Q: Z/ {$ {! L8 [- <script language="javascript">
* a$ E' M* I2 l0 z2 E - if(top != self){ p+ J8 q% ^! P" X
- location.href = "http://xp6.org/iframe.html";
. F% R# r( k, K9 i% B - top.location.href=self.location.href;
$ A, v* { U0 n: G - }
2 `9 E; o) _ X1 T: e0 o6 I - </script>
复制代码 ; j1 q) B) j8 J' k( P* R/ h
将上面的代码复制到需要屏蔽页面<head>里面加载。
& n t m) J3 M8 [* l制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。! p5 Y+ U4 p& p4 a9 u, }
原理:
3 B/ K: y* x; d- ^/ I# @% `3 K+ o' {/ ?第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。
# z" N/ m g7 ]第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。
) T) w9 X0 B1 S4 d- z+ ]# {6 Z! }目前测试这种方法没什么问题。
# S5 T' g5 y+ ]+ d- b4 Z, u; ~, ?1 M% p f; k
|
|