|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。
3 L5 R. ?. H; _9 Y* s这次讲一下如何防止自己的网页被别人iframe。
2 R1 R4 Y7 B; M9 ^
1 ]0 o! b" f) i& q% r1、这些方法都可行,但不是太可靠。) O- G$ w q/ P$ Z, a( M
- <script language="javascript">* r- C% w$ O: w' `" W3 p( H, H" J( U: z
- if( top.location != self.location) top.location.href=self.location.href;9 H+ Y# P& g& q1 j# N1 d* ?6 F$ ^% k
- </script>
复制代码 或
0 M3 J3 ]$ B' C" O- <script language="javascript">$ A7 c, j$ F- P! H
- if (top.location != location) top.location.href = location.href;
4 G/ o* l) U* J3 I/ G0 x - </script>
复制代码 或( C. \; ]9 V/ \* c* A5 F5 z
- <script language="javascript">
7 M% v: V% [1 W7 L6 i - if (top.location != self.location) {top.location=self.location;}
) o) o) O' @( W5 ]6 ?, a3 S - </script>
复制代码 或9 e ^; V" E& D
- <script language="javascript">
" b) A& L7 U8 {/ E$ o7 ?0 J- J4 W - if (top.frames.length!=0) top.location=self.document.location;2 O' l ?% R2 q o! c
- </script>
复制代码 不可靠的原因:
& A1 t- W7 a/ A, }1 v当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。* E/ L, U7 W9 t6 q x
- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
, R# \5 B8 P" p - <script language="javascript"> S) ]" K! K) l' c# v: Z+ Q6 S
- var location="";
- J5 y+ c. U) a; z% D- h - var navigate="";
1 g: u# N% R" X3 p, S. w - frames[0].location.href="";
, {( }$ Z& |7 ?1 D w$ [ - </script>
复制代码 或
$ I% n' z0 z. ?9 g- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
复制代码 或
4 ^+ [' ?! h- b2 G
" p9 c7 z+ W$ U+ D7 K0 c- <script type="text/javascript" charset="utf-8">
& p: w5 N! u* f) d - document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');2 g1 K6 U$ n6 h2 U1 H% ^
- </script>
复制代码 2、代码层次的屏蔽,方法可行,但不是很人性化。
; _* v$ A) x+ K. D: RMeta标签方法8 j; U, @3 t, r3 @% j6 @5 c) J
- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
复制代码 PHP方法
4 v/ K9 [% V. F5 \$ d! x) J2 M- <?php header('X-Frame-Options:Deny'); ?>
复制代码 Apache主机方法
; V( ]6 ] R; t7 |* y0 V4 A- Header always append X-Frame-Options SAMEORIGIN
复制代码 Nginx主机方法9 H" g6 l6 I, S& g2 I. J
- add_header X-Frame-Options "SAMEORIGIN";
复制代码
: w4 V# F5 E; `.htaccess方法
$ @1 ^+ H. E. u+ x在网站根目录下的.htaccess文件中中加一句
( X% G; Y% ?, @9 l- Header append X-FRAME-OPTIONS "SAMEORIGIN"
复制代码
% j \/ p$ B5 h: @IIS方法5 X7 M5 q, D3 f& u' U% e
在web.config文件中加- <system.webServer>& e3 H- u1 B" t
- ...; W! ?3 b' U! `0 N( d2 C3 r5 v
- <httpProtocol>
& n8 H+ \" \, K' X, g - <customHeaders>( O8 `5 C2 X) c; B
- <add name="X-Frame-Options" value="SAMEORIGIN" /> }3 m4 t( B0 Y% t# E N9 s
- </customHeaders>
) c4 a6 d) {/ Y - </httpProtocol> 8 J8 V. p5 K7 l' O, v1 [
- ..." \1 p. H* A4 G+ S6 B$ ~7 C
- </system.webServer>
复制代码 2 K+ N( [7 _( ^$ Y
之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。/ l* j w8 b8 F% e
" v" F- s3 z6 i/ n- E4 n: M
3、推荐解决方法。! s, F$ A$ ~# X/ R! y
- <script language="javascript">
# ]1 ]0 |; Y2 b3 V$ f0 v - if(top != self){
. j) y% ~; l n) E) H - location.href = "http://xp6.org/iframe.html";
- w/ y3 [/ f `# A7 D* a+ y; k - top.location.href=self.location.href;
" L8 u" B W0 p+ F& b - }
! K9 b" s3 i: @9 ^, i - </script>
复制代码 * a# n9 f% P3 m3 r3 T* Q. \
将上面的代码复制到需要屏蔽页面<head>里面加载。0 I- e6 X8 i5 h
制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
0 J6 S4 N! v& m$ ~: P- Q3 }原理:
' a' ~% B. t1 T [第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。( v% z0 t5 r. _8 @ C
第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。
( r% s7 l. h# b, B. h( `目前测试这种方法没什么问题。: p, Q2 n4 T! V" G% t1 T- i7 K3 _
3 ^8 `: U- n& ^3 R- ~ |
|