|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。
" v* h# `# g# L" f! v这次讲一下如何防止自己的网页被别人iframe。
/ k$ L: B# f1 D2 b; o
" @ H( g% H" P% h L0 ?0 c1、这些方法都可行,但不是太可靠。
6 T' ~4 `3 Z$ c [( K- <script language="javascript">
9 V4 \- B5 h' \8 [0 i% @ - if( top.location != self.location) top.location.href=self.location.href;9 k1 `% ?' Y6 B- r3 ^ a
- </script>
复制代码 或) d/ W3 E/ z0 i" K5 x0 A4 k
- <script language="javascript">) w: Y/ a% b9 {8 P' w2 V
- if (top.location != location) top.location.href = location.href;# A9 x- ]7 k2 p
- </script>
复制代码 或
+ H" [' x# l* {- <script language="javascript">9 i1 N1 f) d$ J2 E+ m! k
- if (top.location != self.location) {top.location=self.location;}0 b5 d1 E0 @6 Q4 _: K7 w
- </script>
复制代码 或! ~! H, X8 o/ q! r( y$ h
- <script language="javascript">
* S+ [# _8 }7 ^/ | - if (top.frames.length!=0) top.location=self.document.location;) B" S9 Z- S. v6 W+ y: e5 W! p
- </script>
复制代码 不可靠的原因:7 L6 j% U! z; P: Q9 x }
当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。9 x" N0 b- Y" N5 t' A; x- d. \4 z
- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>$ ` V+ q6 m" v+ U
- <script language="javascript">
6 U. H/ T0 {. o# I* B - var location="";5 `8 G/ l1 v8 @ C
- var navigate="";
/ E9 B5 h' E9 g8 H3 ~. `( j( f - frames[0].location.href="";$ `, V2 ^0 P5 J7 O$ l9 V
- </script>
复制代码 或
$ U! D3 L# \# Q1 p- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
复制代码 或
9 n- R9 v4 K, m j. ^+ h1 P7 m
: M1 P2 C6 b, h" ] _" W- <script type="text/javascript" charset="utf-8">
( C+ I8 S1 G7 A - document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');
5 H+ E" L( [. v( I# k) X w - </script>
复制代码 2、代码层次的屏蔽,方法可行,但不是很人性化。0 y) K G( C8 I' s9 H! j
Meta标签方法
8 e( s' N4 d2 k0 E, q& D- J( N8 ` ~- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
复制代码 PHP方法
# Y$ w* `$ o! l. S- <?php header('X-Frame-Options:Deny'); ?>
复制代码 Apache主机方法
/ ^' ]7 }9 B& J( @ V- Header always append X-Frame-Options SAMEORIGIN
复制代码 Nginx主机方法3 b* H* v( R& N1 I6 O9 x, ]3 Q
- add_header X-Frame-Options "SAMEORIGIN";
复制代码
3 C' G5 h5 W. g9 x.htaccess方法. h1 X1 T/ F% ~" Q* e ~
在网站根目录下的.htaccess文件中中加一句 g) V9 Y' C5 z' c1 }$ h# b0 P! x) ]% [
- Header append X-FRAME-OPTIONS "SAMEORIGIN"
复制代码 2 o9 d6 }0 `/ k& f7 j# L
IIS方法
5 H( d; q H. W6 ]- U在web.config文件中加- <system.webServer>* m' x4 c% v% o' e5 H
- ...4 n) D( T6 T1 T6 t) l" X! o3 O
- <httpProtocol>
! y: j \3 f/ O. `7 s- S - <customHeaders>
( k% k4 p: \( P: m/ M6 _8 O& @ - <add name="X-Frame-Options" value="SAMEORIGIN" />
; |! O0 X- h. m+ w! Q+ q' T3 Z - </customHeaders>
+ T J+ I2 D/ M; \, H' J2 R; P: m - </httpProtocol> + |/ F* T' n! @. n9 }: ~: c
- ...6 V5 n" d% K' Z4 e8 h; O' x
- </system.webServer>
复制代码
+ a# _4 `' O( ?1 G# Y0 j% I之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。4 ~( R) w; W6 V7 D
" |8 }8 b6 _$ |# o5 X4 _% W5 ?3、推荐解决方法。
4 v; {; s% ]* i; {$ z- <script language="javascript">
4 h9 E5 O d8 _0 k1 R0 C& } - if(top != self){/ e9 O0 j$ n( H0 H# x5 y5 v; |! j9 t
- location.href = "http://xp6.org/iframe.html"; . F" B' W7 m* E5 i- T
- top.location.href=self.location.href;
0 n/ Z7 [2 A: \ - } * y0 I6 N- d# O8 C# N! F) B
- </script>
复制代码
6 v$ l' |+ {0 ]5 {将上面的代码复制到需要屏蔽页面<head>里面加载。& M. m% I0 c+ S* x% V" Y9 |2 t
制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
# z8 w" x$ v2 r) t( p4 t+ k原理:8 d- x ?3 |/ L4 @/ N# v; y- m( ?& v
第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。2 ~/ F: d$ Z( Q
第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。7 k! u6 C$ ]* f7 N+ T# Q
目前测试这种方法没什么问题。& w2 z4 o/ [7 r5 C0 ]% I* N% v/ L
+ R6 h v @9 ~3 J) y
|
|