|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。
) P. ^0 V- x. v+ b2 @这次讲一下如何防止自己的网页被别人iframe。
" Y9 `( H3 u1 ?
% C* y$ H2 W& M1、这些方法都可行,但不是太可靠。9 m7 m* ~ a' V
- <script language="javascript">1 L+ R0 W% p$ Z$ E# Y3 p0 X) `# o1 l" \
- if( top.location != self.location) top.location.href=self.location.href;* G5 {+ }! X0 X' l6 P% j# |
- </script>
; s% F4 f/ [3 x- <script language="javascript">
$ {; W5 N3 X9 t- V s! [& R - if (top.location != location) top.location.href = location.href;
, P; I8 [" J. Q. e - </script>
- <script language="javascript">! z Q. L' u. [ k' ]. ^6 S6 U
- if (top.location != self.location) {top.location=self.location;}5 y0 C8 G6 {- R' E5 ~
- </script>
- <script language="javascript">0 l" h% I' q2 d
- if (top.frames.length!=0) top.location=self.document.location;! |: P. n7 S6 J0 W
- </script>
当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。
( p7 S: ^( P' Y# u/ L0 J- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>, U- s( G# R; I/ @
- <script language="javascript">
% V% t# e' d' P' E P8 k - var location="";
: p {2 w: {; u - var navigate="";2 s- q1 X. z! I
- frames[0].location.href="";$ Z1 A9 j. r9 r! h
- </script>
- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
4 {! i! _/ A2 J" @4 t9 \
/ I8 i# {1 {" \- <script type="text/javascript" charset="utf-8">* M4 O# P/ [2 z1 t5 E/ }
- document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');/ V1 e. S1 ?, o* S; B
- </script>
. Z5 }! K- E* X0 lMeta标签方法
! @& b7 p; L+ c7 v3 C- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
- <?php header('X-Frame-Options:Deny'); ?>
% Y4 R: ]+ _% y( T v a, D- Header always append X-Frame-Options SAMEORIGIN
- ~6 E/ J0 n2 P; o( L- Q# j- add_header X-Frame-Options "SAMEORIGIN";
q1 p+ x/ I6 g9 n.htaccess方法
$ G9 ?9 q* `4 d7 s3 l5 J! F在网站根目录下的.htaccess文件中中加一句! B) @+ y% s, P9 U
- Header append X-FRAME-OPTIONS "SAMEORIGIN"
IIS方法
7 T) X9 x2 b1 A# e+ A( H8 {7 E在web.config文件中加- <system.webServer>
, B) E) P1 D! ]% ?" e - ...
" P' b% c' ]$ s! D - <httpProtocol>- v9 O, y' G* c& F9 J y- [' t2 c
- <customHeaders>1 M g5 E% o3 `% D6 \! i9 L5 A/ I! }& K: r
- <add name="X-Frame-Options" value="SAMEORIGIN" />
$ D) l& T' G P* K5 [( j0 s - </customHeaders>
; P- A& j- N5 R0 c ?, i8 y/ t: }- ^ - </httpProtocol> * A0 u( Z3 P; ~
- ...
$ [: T4 k+ C! b+ v$ N% k: q - </system.webServer>
之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。( q0 }" X; u; r
$ X9 {, L- B0 A5 O. m3、推荐解决方法。9 L0 Z; k( e0 s# ~% I
- <script language="javascript">
! q/ p9 {# O& f9 c* H - if(top != self){% V# p! ^, [' s/ Z* |! H
- location.href = "http://xp6.org/iframe.html";
4 P+ k) B. j7 I2 Z, x - top.location.href=self.location.href;8 V7 H1 Q. ~" Z' Y7 B3 n
- }
% [ B0 m# T+ I& |+ Q( s$ Y - </script>
将上面的代码复制到需要屏蔽页面<head>里面加载。" p( C- B, E. Y" b
制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。3 k$ k. q) F* x9 @( q
原理:
9 P" u& V- `1 T第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。
& v. k" ^" |: Q; j第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。 c6 t8 u7 x2 ` X
目前测试这种方法没什么问题。4 }5 E+ A9 w( }3 F6 z8 W
7 w% R2 d- \0 c9 ]5 g. g; E5 e8 w
|
|
发表于 2020-11-16 17:30:36
千斤顶
显身卡
鲁公网安备 37021102000261号