|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。- w2 S6 r3 }. Y8 G( { }/ H6 D
这次讲一下如何防止自己的网页被别人iframe。, ^0 j: r# {" F% d
/ t& g( S) t! }* U! F' K1、这些方法都可行,但不是太可靠。. t9 A$ s: M0 ]
- <script language="javascript">
# }7 S( l: n/ v* f& p0 R: i8 _ - if( top.location != self.location) top.location.href=self.location.href;
( z8 {- _) `/ U. R) ~. ^( a) y5 x) f/ H - </script>
; r8 L# d2 X* p; z P0 N, g# V# n- <script language="javascript">; ?2 k' P' D& b6 l% g
- if (top.location != location) top.location.href = location.href;2 v- b2 c4 P9 g1 o% P1 S0 U% v
- </script>
, L( P: @) U; T2 a- <script language="javascript">- `' D+ w$ q3 x4 W; T
- if (top.location != self.location) {top.location=self.location;}
+ w: k( A$ Q6 m% ?, `( J - </script>
9 m) t# [: j# Y# B, X: Z- <script language="javascript">
; S" I! U0 {' Z3 y - if (top.frames.length!=0) top.location=self.document.location;3 ~3 R3 W4 R4 ~ |" @/ Q
- </script>
当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。' H+ a0 k9 B4 i2 m- Y0 m; q
- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>3 K) v6 ?/ j" t) T& Q3 z s- _3 C
- <script language="javascript"> ; x3 M8 }7 I- r, {0 U# t; z! @
- var location="";1 z' Y' x0 H+ p
- var navigate="";
' @( S: x; n% Q) v% a/ M - frames[0].location.href="";
3 z- n1 U9 f7 Q8 x: e - </script>
- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
7 o' r; X# R- }/ a3 E
- <script type="text/javascript" charset="utf-8">
3 N6 ^) W7 u4 S+ `8 r% G/ |- s - document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>'); c3 T# O* r' k7 p8 x
- </script>
; [" n& o, A3 \/ JMeta标签方法
& e7 V* e' q% } n" n- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
$ T2 s* y( S# v" A- <?php header('X-Frame-Options:Deny'); ?>
- Header always append X-Frame-Options SAMEORIGIN
0 |; o! d" g3 i e2 Q* f8 C# r- add_header X-Frame-Options "SAMEORIGIN";
4 B% o6 v/ R! a) ~( J, r' A, h; U, J.htaccess方法# S$ T/ K. _5 ~- y( K9 i5 }
在网站根目录下的.htaccess文件中中加一句, I8 L/ m$ C7 S3 `$ l
- Header append X-FRAME-OPTIONS "SAMEORIGIN"
, w# R- c0 o, L- AIIS方法% X: D9 R5 m/ s. R+ y
在web.config文件中加- <system.webServer>
Z" B* Z3 b) c. y, }& C. V; N( B - ...
: W6 G! t% ]* R3 M) u- I3 ?1 C- q - <httpProtocol>
8 \! ]7 q" h# X! E - <customHeaders>1 @; `0 ]1 J) a
- <add name="X-Frame-Options" value="SAMEORIGIN" /> " J$ K, d) N6 N. m: Q
- </customHeaders>
# C2 x( Q( N- t M( F - </httpProtocol>
6 K+ z. e( [: ^/ R- Y" L - ...5 v* s' s) p+ f8 }& ~% A {" C3 C
- </system.webServer>
之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。$ b# |- ~0 Z( a; { c( T
4 X7 ?& d& V* r1 }8 W" `5 C# _3、推荐解决方法。0 ]; Z* g) h4 w* V
- <script language="javascript">
% g. F0 c$ A& b$ B: v! E# Q - if(top != self){0 A4 q8 {! n" p4 Y4 h/ U1 v0 N
- location.href = "http://xp6.org/iframe.html";
9 J! e7 V; a- N4 d; T( e% p, ]* C - top.location.href=self.location.href;
5 W2 P' R& h8 p. j+ a5 \: c - } 0 T7 ]. c* W9 {5 D
- </script>
F4 n8 y E. O将上面的代码复制到需要屏蔽页面<head>里面加载。% V. G* \1 E4 X& \5 u- j1 S
制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
" A! n# w4 W' M6 B5 | D原理:
3 k& I! {4 ^0 A第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。
8 @7 D" g1 k/ X2 A5 s第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。9 c* W( j4 L( }) ~- j4 y& i& L
目前测试这种方法没什么问题。
. d! [7 X& x* U. C# h; P5 N
% T C9 b* x! \ |
|
发表于 2020-11-16 17:30:36
千斤顶
显身卡
鲁公网安备 37021102000261号