|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。
: v( }4 ~0 \ B# h* _这次讲一下如何防止自己的网页被别人iframe。" o) X" _9 l* K5 @& u$ D4 b/ `
( C% {& `! w$ }* F( N1、这些方法都可行,但不是太可靠。
+ |# X& A3 r& N- W, t; a# T- <script language="javascript">
" e+ |7 R% p( z) O t# {- a1 Y - if( top.location != self.location) top.location.href=self.location.href;) o0 U; L/ J5 z) \
- </script>
2 r( u8 w9 R4 W) F+ v+ E- <script language="javascript">! E8 P$ V# L/ Q
- if (top.location != location) top.location.href = location.href;8 M0 j, F7 ?6 k3 @
- </script>
- <script language="javascript">& k& x+ X2 `7 s. N: I
- if (top.location != self.location) {top.location=self.location;}: w c- A( e; }9 B0 G
- </script>
- <script language="javascript"> @% j' a1 } D4 N
- if (top.frames.length!=0) top.location=self.document.location;3 e$ I6 T8 w8 d+ b
- </script>
当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。% N4 F5 E+ i, Z1 h
- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
( M* ~4 b8 ?5 _3 [( W" b" P- d - <script language="javascript">
' W2 ?, D0 i g, I$ u - var location="";1 a5 s' E" m- @
- var navigate="";
9 V6 N, t0 h* A+ u$ _ - frames[0].location.href="";7 j% Z. V9 X9 w; y
- </script>
& e0 r' |/ A" ^- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
( w: @- \- |1 ^0 w* t2 a) M
( P; q# [7 T2 }$ g- <script type="text/javascript" charset="utf-8">* p; n1 J1 p$ K) ]$ s
- document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');8 |: [# i" T2 s& a' B( c) r
- </script>
Meta标签方法7 }0 e7 m2 \% V9 k+ E6 F% E( X
- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
- <?php header('X-Frame-Options:Deny'); ?>
* u( ~ W$ n" u/ x% U- Header always append X-Frame-Options SAMEORIGIN
9 p7 h7 b/ ^* h5 H! C5 P* {) v- add_header X-Frame-Options "SAMEORIGIN";
.htaccess方法" e6 U5 x. Q$ l9 h8 O! A
在网站根目录下的.htaccess文件中中加一句0 |7 W/ p J; x9 H3 N
- Header append X-FRAME-OPTIONS "SAMEORIGIN"
IIS方法# q* K% }7 }* |$ g2 I& g# l: M
在web.config文件中加- <system.webServer>
0 r4 [7 a" K7 K5 i9 x - ...
) V8 E4 a% [8 p6 K5 F - <httpProtocol>7 `( u+ F3 ?5 D3 P' l; v
- <customHeaders>$ s7 r) g: Q9 T7 ?+ Y
- <add name="X-Frame-Options" value="SAMEORIGIN" /> ; o8 B3 L _# v a
- </customHeaders>
& {' {) {; F; O. h - </httpProtocol> 4 ~- Y6 }. z3 V8 Y- ^5 G- R" q
- ...& j' H4 k0 b6 q* |
- </system.webServer>
* ~$ X, J* J( \: t" K% E, j之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。
/ b7 v: B# Y( L, I. S' F# T# _( O5 r# b! w9 A2 x* l
3、推荐解决方法。
6 r& O* Q1 X: U- <script language="javascript"> 6 n: {5 t# v( y! F* v
- if(top != self){3 q5 c& z/ l; V
- location.href = "http://xp6.org/iframe.html";
; C' B8 H0 F" n' ^* C - top.location.href=self.location.href;! A9 O4 [, O8 N' w5 o
- }
+ [1 i+ S1 }8 A$ L4 q9 b - </script>
将上面的代码复制到需要屏蔽页面<head>里面加载。
4 b4 t$ D# B: x' @制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
7 O! i, m' S5 C7 t8 U原理:8 c1 R& V8 p* V
第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。' V! H1 E$ f, \
第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。
" g: L' M( n3 C9 U2 m4 j/ n目前测试这种方法没什么问题。
2 H m5 r) @; ~! {+ p
0 r& V1 I1 Y, j! |3 k1 ` |
|
发表于 2020-11-16 17:30:36
千斤顶
显身卡
鲁公网安备 37021102000261号