|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。( W& t# A/ x" M7 p c6 W3 d/ S
这次讲一下如何防止自己的网页被别人iframe。: E! _/ N, I9 w0 b& j
% d ~, h o1 ]6 s1、这些方法都可行,但不是太可靠。
7 e& H" z, r) x: L. ~- <script language="javascript">! @: q2 K, u4 I1 c. {/ }
- if( top.location != self.location) top.location.href=self.location.href;( L' M2 o4 {+ v) O3 {- p# g
- </script>
复制代码 或
: s* H V. b. ?4 z! l( E9 @- f- <script language="javascript">
4 [; T$ v% X9 p - if (top.location != location) top.location.href = location.href;4 N, Q; C. K4 Q( i" {+ d! m
- </script>
复制代码 或
9 ]: I- [" v& _- <script language="javascript">
9 T( c- L6 b* j( F5 D, J# r - if (top.location != self.location) {top.location=self.location;}: K6 u0 ?5 b' m6 a6 j Q
- </script>
复制代码 或3 m. ^; ~8 M/ P
- <script language="javascript">
* O0 g4 p R/ z% t& ]/ v' p' ` - if (top.frames.length!=0) top.location=self.document.location;- W1 H1 O I8 H$ `7 _8 T9 I
- </script>
复制代码 不可靠的原因:
3 x4 q G! `2 e& y% ]当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。! y1 S9 i4 s+ U4 Z2 M( v/ \# k p
- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
6 v( I I5 k, o' @$ \9 ~ - <script language="javascript"> 9 y) m% Y/ u. B# S( p2 [" k% U
- var location="";
, y: U6 B+ {7 o9 ~! \% m# ?: _ - var navigate="";: a) ^' Z" j; f# Z, C7 ?4 z. j
- frames[0].location.href="";7 _. T i& M6 C
- </script>
复制代码 或. \* y0 |6 V7 g& A
- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
复制代码 或7 H, [) w: _, s: i: H3 b
" Z5 B* I8 y, i- <script type="text/javascript" charset="utf-8">. [# B3 r( }: _1 W
- document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');, K4 t `! U; x- `6 f7 G1 Y! S( m9 k
- </script>
复制代码 2、代码层次的屏蔽,方法可行,但不是很人性化。
, g/ r4 N) k' ]1 aMeta标签方法
" y1 b) j, h- n4 `0 K- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
复制代码 PHP方法
! G' o( N2 b+ S& B1 s- <?php header('X-Frame-Options:Deny'); ?>
复制代码 Apache主机方法
: n+ f) m* `0 ^! E( X+ L- Header always append X-Frame-Options SAMEORIGIN
复制代码 Nginx主机方法9 ]; Q# V( e9 Q3 p* @
- add_header X-Frame-Options "SAMEORIGIN";
复制代码 5 u" m2 T; a" C! f3 M" s: h
.htaccess方法$ _- l! B, `3 ~) q9 H
在网站根目录下的.htaccess文件中中加一句6 f4 [4 B0 e# k* @6 {
- Header append X-FRAME-OPTIONS "SAMEORIGIN"
复制代码
( a1 U5 H7 l0 Y. j: TIIS方法& ^# H- g6 o* x( c. X# |0 B* S
在web.config文件中加- <system.webServer>
4 t5 {: R! O- z6 b: M3 ? - ... h. M5 f( f- H' R
- <httpProtocol>& B x* d+ |1 p; X
- <customHeaders>
; c+ g5 O7 F7 ^! V' h - <add name="X-Frame-Options" value="SAMEORIGIN" /> ( Y# r+ a: F( ^1 u4 ]6 v2 C% r
- </customHeaders>
6 Z" g5 g, ^1 J) N2 O* q - </httpProtocol> 1 Z! t7 n U7 P: ]. c
- ...
' I( \) s5 |$ c% E1 O2 \; f9 ~ P* a - </system.webServer>
复制代码 9 y1 `- h: s; v4 x, l2 i
之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。9 }3 R9 q% E3 v! W, {
1 @# p$ x# E- q( i; |# L) S0 d3、推荐解决方法。+ }# Q1 y3 E) k8 Q
- <script language="javascript">
( | v9 j, K" a - if(top != self){; H% }1 t! o4 U) u. M6 e2 i
- location.href = "http://xp6.org/iframe.html"; * b [+ ^/ A/ j# U% e2 N4 [
- top.location.href=self.location.href;
' w" O# p' H5 Y, F - } $ [* r( L @ c3 j t$ X, ^
- </script>
复制代码 : q2 q, t1 b3 w2 n* Z8 f
将上面的代码复制到需要屏蔽页面<head>里面加载。
3 |6 e e m* H, k/ ]制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。$ B5 Q+ O( C, U: ]- }2 d
原理: U$ ^$ j! J u/ J
第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。: z. ` N [. E& g
第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。& v3 M" |5 \/ f( Q
目前测试这种方法没什么问题。
0 H* L! g9 Y' ^5 j" ?" _$ K3 B. q- N# q6 r
|
|