|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。 `6 G) i* I, B1 N7 [8 ?
这次讲一下如何防止自己的网页被别人iframe。( h; i$ o ^8 T1 U
; T1 [ ~& n) m( A- `+ ]' M9 |% Y
1、这些方法都可行,但不是太可靠。
- @+ O! t, d x1 A- <script language="javascript">- W) x) C8 T3 R2 g
- if( top.location != self.location) top.location.href=self.location.href;
; s9 \1 N4 s! y' H3 n# N - </script>
复制代码 或7 ~4 r O8 B6 w' P6 P
- <script language="javascript">
+ b8 c% [" F& ^0 n, {0 T3 b - if (top.location != location) top.location.href = location.href;. r( e6 M# f2 ?! f
- </script>
复制代码 或" R Y2 e3 H* x0 A4 a8 P
- <script language="javascript">- _/ R9 E; U9 j9 {) d/ W9 q0 {
- if (top.location != self.location) {top.location=self.location;}+ k/ A o- q3 H& S4 T! t% B, \( J9 v
- </script>
复制代码 或
d+ Q4 L' ^, `& S l# d- <script language="javascript">7 N1 d7 I7 u4 Q- D# y
- if (top.frames.length!=0) top.location=self.document.location;- g4 @; h" `% E1 z5 |
- </script>
复制代码 不可靠的原因:
" w2 _* `4 j0 j8 s4 \当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。
7 V" o: r: I+ z1 K ^( s- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
1 ^$ B% v" o8 |! o+ M - <script language="javascript">
/ a5 m7 m/ p, j9 S. @# ? - var location="";
! K% D8 w" u$ B" L& F8 | - var navigate="";+ Y& F/ e9 z" _, q; V' Y9 U/ F' E. E
- frames[0].location.href="";
/ n4 m5 {: {, H - </script>
复制代码 或
; j, S/ |3 o9 _8 k: J& {- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
复制代码 或
" P+ c5 |: Q, m0 ?7 h3 k+ c* H' X# a
- <script type="text/javascript" charset="utf-8">
! E) W5 c& M0 z - document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');
6 @2 W s4 j% E; Q* v! ^1 a - </script>
复制代码 2、代码层次的屏蔽,方法可行,但不是很人性化。; G, B1 r2 O: a3 U c; N8 F9 C
Meta标签方法! ?; a0 `6 K- ?* j5 I8 t
- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
复制代码 PHP方法
& ]3 ~) ^) I9 M# u: b# L! P- <?php header('X-Frame-Options:Deny'); ?>
复制代码 Apache主机方法' ?: g2 ~6 W- O, [, E7 K5 T
- Header always append X-Frame-Options SAMEORIGIN
复制代码 Nginx主机方法; e- {9 s8 i" V+ Z& m
- add_header X-Frame-Options "SAMEORIGIN";
复制代码
' g4 F9 {1 B. [& _.htaccess方法2 }2 D) g( r. q. y/ Z" K
在网站根目录下的.htaccess文件中中加一句
! {5 W" f1 ^, j+ a- Header append X-FRAME-OPTIONS "SAMEORIGIN"
复制代码
/ s" p& K, j7 O4 AIIS方法3 O6 j% v5 h; v2 O" h, v( @+ a
在web.config文件中加- <system.webServer>
* E1 [0 k7 V# O2 Z1 U - ...8 P1 O- {" ~' O3 @ J) w
- <httpProtocol>! j5 S9 s0 V5 H9 h7 P& f
- <customHeaders>
2 c6 _. J& |' r! G0 I/ p4 p - <add name="X-Frame-Options" value="SAMEORIGIN" /> / Z. {! H! S' d6 F8 r1 x# ~5 T# l
- </customHeaders> " z0 m d! [7 G) p- G
- </httpProtocol> 7 B, E( ` s: X$ Z1 z1 F+ e2 }
- ...
. L: _$ k8 v. X9 z! d9 @ - </system.webServer>
复制代码
u+ t6 A3 m6 [ u/ y6 b之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。
4 e. R3 o+ G2 o2 t9 t- _
7 X7 \+ z( z, a* k2 f' p3、推荐解决方法。8 o. ~8 q# a" _6 Y
- <script language="javascript"> j- G( H) g5 h4 e" ]7 n
- if(top != self){
( T. D5 e- ~( M: T' W - location.href = "http://xp6.org/iframe.html"; ! Y8 s+ N+ W9 w9 r* Z) u+ E* N
- top.location.href=self.location.href;
7 |) U( N, r+ r - } 2 v$ U- F" J, `* t
- </script>
复制代码
; J" }5 f3 K) r5 ~. O4 V. R4 u将上面的代码复制到需要屏蔽页面<head>里面加载。
& l$ L/ B9 V* {+ ?& }制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
4 m( K* a( x( Q0 |# l原理:- w5 Y/ g2 j7 a" B
第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。
& I3 |/ J. @0 [ J$ E第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。/ C9 T+ H* t# S( @4 N
目前测试这种方法没什么问题。; @- w4 t( t7 h. h y, S
+ U7 l1 s" u9 q& W# D
|
|