|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。
# r. Y6 v, U& X# s) |7 |6 z这次讲一下如何防止自己的网页被别人iframe。6 z5 C. y# [# B C+ z+ o
! C8 i' S' `0 G* ^6 O9 x( ]: G1、这些方法都可行,但不是太可靠。5 C9 U( g( L, r2 ?1 t3 R9 e, p
- <script language="javascript">
$ ~9 ?' A4 N# ^$ t5 u - if( top.location != self.location) top.location.href=self.location.href;/ l. A+ r+ H% \, q- s4 @& b; h5 v2 y
- </script>
- <script language="javascript"># Q6 g2 {$ v2 K Z9 T4 v
- if (top.location != location) top.location.href = location.href;% f+ z( O( g# J3 U b. Q
- </script>
- <script language="javascript">
5 E7 j' q' v; T1 s1 _0 P) V! c - if (top.location != self.location) {top.location=self.location;}
/ L3 a( U x2 f" u/ @ - </script>
" X, n6 I& ~, N; b+ B# L4 @0 _- <script language="javascript">
$ |+ ~/ U4 j' k- Z5 A4 s' [) t$ o - if (top.frames.length!=0) top.location=self.document.location;
' |/ ^7 o3 \$ ^; k1 x# B - </script>
+ O# r2 X: c8 u3 V当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。9 t s/ m* a0 m9 @
- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>( `' v! V8 k+ c# R ]
- <script language="javascript"> 6 n$ c7 R' N+ ?& \1 r; R
- var location="";
- A7 K1 z7 c* ]2 \ - var navigate="";
6 j2 c$ k: k A$ d2 C - frames[0].location.href="";
, X6 ?2 B# m: q) S. h# {' b& m - </script>
9 u5 K8 O) f+ D% f1 v- G- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
* p, t; H$ D9 q, |0 [1 b( Z" x2 l- <script type="text/javascript" charset="utf-8">6 O+ l2 {: G' J6 y( |) [& j! D
- document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');4 M* @- {* Q# Z7 C( R* J
- </script>
Meta标签方法
# W- b; o' x* ^) j% G) U- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
% V* H' o" C# h7 T- <?php header('X-Frame-Options:Deny'); ?>
. a1 \' e* N( }8 P- Header always append X-Frame-Options SAMEORIGIN
1 \! _& [/ f" i! ^' P- add_header X-Frame-Options "SAMEORIGIN";
" y' j& ]- \3 O2 ?.htaccess方法9 J2 ]0 Q$ z$ a
在网站根目录下的.htaccess文件中中加一句+ t. n1 e# F& V" \9 Y& }
- Header append X-FRAME-OPTIONS "SAMEORIGIN"
IIS方法+ F. G [2 i+ i: A) D
在web.config文件中加- <system.webServer>
: U% J1 z" V: q6 R% E A5 A - ...
: w L+ k% W( J3 c - <httpProtocol>+ J2 E. t& A+ ]
- <customHeaders>
0 n( }" `, m2 s( a - <add name="X-Frame-Options" value="SAMEORIGIN" /> 6 G ~9 p" P3 r) P9 o7 |4 e
- </customHeaders> + S, u. }$ d; P; f
- </httpProtocol>
' n. w& |) Z! }/ S( T6 r- g - ...
3 H9 r0 T! z- e7 S @ - </system.webServer>
9 a% p; \: U) F% u之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。: h0 M3 n* R/ G ~2 c
, S5 }0 P8 P* V" O; |9 C3、推荐解决方法。, K" L! P# N2 H3 I/ m2 c
- <script language="javascript">
* R0 m. D. @2 w8 C4 Q G9 f - if(top != self){
+ I% L1 J* F( P3 t& ~8 g: Q( W - location.href = "http://xp6.org/iframe.html"; 2 `1 N' ?0 h3 T, y
- top.location.href=self.location.href;
# n0 v. P2 H! y: X! d9 |- E - } ! c- M3 T' D, ?+ A' i# z5 w
- </script>
将上面的代码复制到需要屏蔽页面<head>里面加载。1 Z8 \* f1 p7 s" C* Z6 c; t% R6 f
制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。9 S, w% U6 x! U6 d& N
原理:. G1 b( q' z# n$ ~
第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。+ O+ S8 \7 ?* q9 O( c4 Y" v" I
第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。0 `* q. N: r# p8 k, l: ~/ Y& v
目前测试这种方法没什么问题。
3 j1 S' K L1 e7 {! C
( o8 L @* q8 z* q. g |
|
发表于 2020-11-16 17:30:36
千斤顶
显身卡
鲁公网安备 37021102000261号