|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。
' n" \1 {! \ l3 O; [这次讲一下如何防止自己的网页被别人iframe。$ H) N$ a' Z w* H6 @# q/ A
* i6 I* ^/ Z* W$ [$ j1、这些方法都可行,但不是太可靠。. T8 u" R) c1 s8 R5 F( m
- <script language="javascript">* y/ r; @5 f! y3 c( g* a- {
- if( top.location != self.location) top.location.href=self.location.href; _" A) Y: e9 M( a
- </script>
2 G. g i8 n; @" x! Z) G/ f4 N1 D- <script language="javascript">* @" K" T+ d- E7 x
- if (top.location != location) top.location.href = location.href;, ~! ?' X. y2 e
- </script>
3 H# b1 ]0 f3 Z- <script language="javascript">0 ]& H2 \4 M; R2 I
- if (top.location != self.location) {top.location=self.location;}8 n9 D: x: i, s$ K$ S/ m1 {
- </script>
7 E5 F2 }5 S5 q, E7 v4 x- <script language="javascript">
# I" W: Y4 ~- G7 C - if (top.frames.length!=0) top.location=self.document.location;
. l ]# R$ `8 E, m. Z - </script>
5 K5 e q/ V5 g7 |2 D( ^当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。
/ w% P- u( B" R# n$ K- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
0 _' i+ i+ L/ {! p1 S - <script language="javascript"> : t7 H/ ?" O4 ~; z
- var location="";
3 E& h5 v5 |; F8 F) z3 O - var navigate="";& L- f- B1 X1 b( a2 c
- frames[0].location.href="";$ F6 m) K/ R2 r' R: Q* p# X7 d7 s6 g
- </script>
- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
8 _" O) l$ Z: }- <script type="text/javascript" charset="utf-8">1 R& f6 o6 I" G4 J+ n/ A$ @
- document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');" T/ ^) @. r, I4 G
- </script>
* \1 p* n$ q. o6 ?3 lMeta标签方法, [# E+ Y& k. k0 b+ s. |1 a
- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
# a5 i0 A7 M4 `- c X+ j- ^9 K- <?php header('X-Frame-Options:Deny'); ?>
- Header always append X-Frame-Options SAMEORIGIN
- add_header X-Frame-Options "SAMEORIGIN";
.htaccess方法
) @$ U- J9 M/ P; l$ t) v; g* X: u在网站根目录下的.htaccess文件中中加一句
5 e% u f0 i6 K+ f( o' g' x5 \- Header append X-FRAME-OPTIONS "SAMEORIGIN"
IIS方法, V# h% a, o, s$ {$ T
在web.config文件中加- <system.webServer>
! ^" F% w6 @- O5 L6 K; u - ...
( c6 t7 e, C9 R* x& q* {, I/ ] - <httpProtocol>: M2 E w$ {2 G, _
- <customHeaders>
4 J, m; Z& U5 Q - <add name="X-Frame-Options" value="SAMEORIGIN" /> ) F! r* E; e3 A |9 Q1 L; z
- </customHeaders>
3 _; S( [- y) d% z; K - </httpProtocol> / G' V5 G S- M" r( T& X' j2 d* g
- ...
/ Q: P+ B$ L6 _7 N - </system.webServer>
之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。
' t& o( }5 ~! [: L `
; v }' [; K: d" f7 n+ ^' ?3、推荐解决方法。2 u1 c8 ^7 v& J( \
- <script language="javascript"> 6 F: S. W7 \$ P, `; Y" J4 j( M
- if(top != self){
7 \& O3 i+ m3 B$ `2 P - location.href = "http://xp6.org/iframe.html"; . `/ k! C& I! T) V7 U' `
- top.location.href=self.location.href;: v c- H. G% L+ l. ?6 W1 p
- }
3 [: u d6 k8 k8 @, L/ s - </script>
g/ X5 I" Z Q& A$ y将上面的代码复制到需要屏蔽页面<head>里面加载。
' r: k( m( B w, Q1 Y制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。2 F6 O1 n! k7 O/ f/ }- C6 [
原理:
7 z' r' m, Z# O' y第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。
+ Y, ~" k% G0 @0 q+ Y0 K第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。' X& F% ?# a( `$ f% x3 h+ Y
目前测试这种方法没什么问题。
0 u% z/ P5 l' M8 G# s" o8 n5 C( s4 i& s! R. ?
|
|
发表于 2020-11-16 17:30:36
千斤顶
显身卡
鲁公网安备 37021102000261号