|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。8 `3 X+ Y9 z. M9 J/ Q/ ?
这次讲一下如何防止自己的网页被别人iframe。' g' {4 V; D i! D+ y5 `7 c8 F
6 A I `9 U. s( X# n: |1、这些方法都可行,但不是太可靠。; |( E9 C( F2 ?8 F' I
- <script language="javascript">+ N+ i8 E( m4 o4 V' t
- if( top.location != self.location) top.location.href=self.location.href;! L6 O( D5 A! a& d
- </script>
- <script language="javascript">$ _, H9 f# X& k- ^
- if (top.location != location) top.location.href = location.href;' @0 K; r* `1 {0 M: P
- </script>
* F- l7 R+ U3 Z- <script language="javascript">3 S& A; m8 r" C
- if (top.location != self.location) {top.location=self.location;}
2 l/ N( K2 W2 [; L/ @' V0 M - </script>
2 c7 Y1 f" K$ `$ q% N- <script language="javascript">
( S- m* J, R. Y - if (top.frames.length!=0) top.location=self.document.location;
; A! f, P2 S- e9 Z; `+ o - </script>
当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。
e8 @8 {5 q4 J- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
2 z# R3 ?: `1 h" Y6 H5 O - <script language="javascript"> ) ~1 L( { m! i5 ^4 L' l* u
- var location="";
' z8 W; G7 m% k0 L8 n - var navigate="";7 @1 r a* g1 e
- frames[0].location.href="";
( K9 M4 L& G/ s4 b7 ], w4 M/ l9 V - </script>
- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
1 }4 m. o- u: B8 F+ m* r
3 E3 b; X: L- B8 B5 F- <script type="text/javascript" charset="utf-8">
4 R. m) D7 V+ { - document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');
' |1 F9 B7 f, m8 i- e6 d - </script>
* O4 u: J' q! q/ Z) |Meta标签方法9 _0 p" p4 L7 u$ O# Y% H
- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
0 V! j6 u( w" K$ ?2 s1 w- <?php header('X-Frame-Options:Deny'); ?>
. J. t: v% P( X( e- Header always append X-Frame-Options SAMEORIGIN
1 B* d1 Y4 S/ u7 \' d$ s9 j; T- add_header X-Frame-Options "SAMEORIGIN";
6 u; u! ^. v. e s9 c.htaccess方法; E5 w6 U/ k4 J e: |/ j
在网站根目录下的.htaccess文件中中加一句
/ r8 O2 {; x% W: K# k- Header append X-FRAME-OPTIONS "SAMEORIGIN"
- x4 t- F3 e4 @9 \ S. W9 bIIS方法* f) l! K% Q c/ ?# r' h. K
在web.config文件中加- <system.webServer>: g2 a. ]4 s$ h3 N
- ...
5 a9 _$ D3 [! Y$ K1 D - <httpProtocol>6 |# ~! w( A( @
- <customHeaders>
' t9 J5 | U @1 ~ - <add name="X-Frame-Options" value="SAMEORIGIN" />
1 N- Z* j/ `$ I5 a' H% O - </customHeaders>
* P6 C- t% |1 ?, p2 ?( b% R - </httpProtocol> % F8 [4 b/ r$ ^; g9 m. ~/ J
- ...
) Y& F! C8 t& Q2 j: x5 w" ] - </system.webServer>
之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。
\* b7 ?7 ~0 t% e/ x+ V5 d Y: r4 l) s7 @4 _: N
3、推荐解决方法。
6 R4 Q! |$ o) c: J+ m; B& [8 d- <script language="javascript"> , t6 h; N. N; w$ [/ ~. y
- if(top != self){
$ l, m% q8 e8 `5 h# j$ ? - location.href = "http://xp6.org/iframe.html";
, c7 }+ E9 r$ F' Z. \- a) H& B0 } - top.location.href=self.location.href;
2 e6 [. w# m$ ^/ M* F5 J6 W - } 2 v, O9 `' `% [# g7 g4 ~0 R$ Y3 k
- </script>
将上面的代码复制到需要屏蔽页面<head>里面加载。
$ y, J2 o* Z$ P: m; q4 V; k制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
* `" k8 d9 p/ A4 v" m原理:3 z- G8 O0 P- u. b4 @# F4 S
第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。
D! S! n; ~$ O- z+ J第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。9 E8 c. u! I4 c4 X
目前测试这种方法没什么问题。
( {9 h' x" D7 l' e0 x# j& @; ~
+ x8 n, S$ K$ n2 \8 Y |
|
发表于 2020-11-16 17:30:36
千斤顶
显身卡
鲁公网安备 37021102000261号