|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。
6 [6 |0 J; h; p( X这次讲一下如何防止自己的网页被别人iframe。
7 }, u( h0 h( Q9 ? ~" C: k$ H, Y+ C
1、这些方法都可行,但不是太可靠。
* ?4 v& V) K, Q+ Z1 |1 F/ F" g- <script language="javascript">9 f' O5 `$ J9 V; V0 x8 `
- if( top.location != self.location) top.location.href=self.location.href;) N0 E6 d/ q! {7 Z8 Z7 C" ~
- </script>
复制代码 或) e5 @; {7 h) f2 W; w: ^1 c
- <script language="javascript">
/ n/ o Y( Q8 g+ r0 @3 K - if (top.location != location) top.location.href = location.href;
`# C% V2 N- O# l - </script>
复制代码 或
( S9 d$ Q7 ^' Y% q7 C+ _; D' {- <script language="javascript">
6 b5 i, I, u% b1 ?! v - if (top.location != self.location) {top.location=self.location;}$ x' M: X5 P9 H/ a
- </script>
复制代码 或$ T8 k# W- P1 f. `' [
- <script language="javascript">$ S, d$ v! T3 v. Z
- if (top.frames.length!=0) top.location=self.document.location;# _* @# r0 J! l
- </script>
复制代码 不可靠的原因:3 D0 A( W# L( _* x/ Z
当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。7 R3 h+ K0 H+ G" X+ W' V, ~+ n
- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
4 P F( c4 j6 V% U& | - <script language="javascript"> 9 j, H, P# Q a3 O2 n( Q6 A
- var location="";
& W* K5 f4 E8 h W8 {, S4 S7 N - var navigate="";
* R4 C/ B0 H/ O) O+ ? S - frames[0].location.href="";, H6 _" n0 T) M4 O
- </script>
复制代码 或
2 ~0 m1 o0 n6 O& J' u2 Z( h: l- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
复制代码 或
4 A2 M0 o" G1 r4 A6 [- E
0 S% o; M: X" v0 Q0 y7 I- <script type="text/javascript" charset="utf-8">/ ~) o2 G* z" m: F
- document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');
" n/ o; o) R: L& `7 {1 }$ ? - </script>
复制代码 2、代码层次的屏蔽,方法可行,但不是很人性化。
0 }; A2 q' K; `% W( pMeta标签方法) R; n" ~; v7 L. w6 D9 Z: G$ p
- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
复制代码 PHP方法
& ]4 _) D% c/ Q- <?php header('X-Frame-Options:Deny'); ?>
复制代码 Apache主机方法# }' Y" s- n& [) Z* {9 J; L
- Header always append X-Frame-Options SAMEORIGIN
复制代码 Nginx主机方法
1 J) k# O! N; N/ B- add_header X-Frame-Options "SAMEORIGIN";
复制代码 : e b% y/ T4 f2 A
.htaccess方法8 v/ Z2 ]3 H/ {. h7 r) {$ |
在网站根目录下的.htaccess文件中中加一句1 q( G8 w( Z4 |5 N8 B
- Header append X-FRAME-OPTIONS "SAMEORIGIN"
复制代码
_) q5 ]# k. q! iIIS方法' S" P. d% a( `" R8 |* t- k
在web.config文件中加- <system.webServer>
" I# U) z/ J1 w - ...
) k% K8 ^4 a4 t+ Q - <httpProtocol>
9 @) N' e D0 D; U - <customHeaders>
1 e5 Z A/ C" c" `& ] - <add name="X-Frame-Options" value="SAMEORIGIN" /> . d2 J3 k2 C1 I9 Y" ^% |, P- r
- </customHeaders>
+ P, |' s5 r1 C7 O" D* L/ Y - </httpProtocol>
# |% Q" @$ H, l7 m% E! r; K$ t - ...) X% [( J1 q/ a; T
- </system.webServer>
复制代码 & ^$ k) P6 b+ |$ @7 U
之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。8 B8 Z( F; }$ W2 D( {* s* y
$ z! a" h( X6 R0 h3、推荐解决方法。' n( L' G( R" H# B
- <script language="javascript"> 6 D/ ~. \! Q. i0 ^
- if(top != self){
) C) a( @9 |' r8 ` - location.href = "http://xp6.org/iframe.html";
3 u3 N( d8 W7 l# B - top.location.href=self.location.href;
3 R% n6 h5 z6 K/ w - }
4 F9 |+ ?4 L* o/ s# ^7 e' n - </script>
复制代码 . x, N; @9 |6 |- L) ^ r
将上面的代码复制到需要屏蔽页面<head>里面加载。
) J) H' C( j8 Q制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
( ]: X5 ~) u3 a; y$ l原理:" r8 B! ~. d' ?/ ~
第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。" I# q, L% \3 X2 L0 g
第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。' R% I& W% V9 l- k$ |2 M8 I( I3 c# p
目前测试这种方法没什么问题。
3 I/ k. R& d/ Q% [# I, R9 D6 l
0 a8 f. [; p5 c3 s# E4 I0 z$ ^ |
|