|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。$ n' g2 c4 e) D: Y' c* J
这次讲一下如何防止自己的网页被别人iframe。
$ U8 _6 C" ^! s; `2 E2 a
& x! c' I+ ?$ [3 U3 `. B# x1、这些方法都可行,但不是太可靠。5 j/ [" X/ F7 C* Z
- <script language="javascript">: f& T1 P; D ]9 X7 c7 j3 j, f
- if( top.location != self.location) top.location.href=self.location.href;
: `9 \" B9 n+ {! { M - </script>
复制代码 或
# a" }6 w: ?' ~" w, W2 |4 U- <script language="javascript">' }9 I8 n" ?4 Z6 t) k' w" P. `
- if (top.location != location) top.location.href = location.href;( w" K- Y$ X7 c; ]
- </script>
复制代码 或
8 T- K0 d) _1 c7 O1 @* F& o0 [- <script language="javascript">
9 E7 M$ l" l# D: C2 ~; _ - if (top.location != self.location) {top.location=self.location;}
) M9 ?2 Z5 r) l- [( \0 a - </script>
复制代码 或
5 l) n8 K# `7 V! N7 O- <script language="javascript">
# N: d7 F5 g* j" z - if (top.frames.length!=0) top.location=self.document.location;
! C, F+ l$ T' e" {! |. [ - </script>
复制代码 不可靠的原因:) x3 M1 v$ x0 @0 {% d8 l: Y
当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。
/ ?9 r! m3 C9 D& A j. M- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
3 V0 p* V8 e& H# o" M2 G8 r+ @- H - <script language="javascript">
# g: r( h2 ^/ b" s$ V$ P7 y* y - var location="";$ S# Z( Q6 j& m" s4 e, Y' U6 @9 c
- var navigate="";
2 D' V, F. N9 L) P6 N - frames[0].location.href="";
; c$ B; I% W0 r! E# l - </script>
复制代码 或
! `, u6 g0 I& j0 M6 L- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
复制代码 或$ q5 w' g# s5 k5 K x. n7 |3 H/ v
# a4 D/ y& b I
- <script type="text/javascript" charset="utf-8">: k( H( b) j8 A! A1 `1 F
- document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');
7 r! B9 e1 ]+ m) x- Q" v4 I - </script>
复制代码 2、代码层次的屏蔽,方法可行,但不是很人性化。
: `: U5 T' X' v9 v, i) y" z ]Meta标签方法
5 F% {' \/ I0 m+ ?* D4 }+ z- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
复制代码 PHP方法
6 P8 u7 G/ B5 o2 m- o" |) l6 I- <?php header('X-Frame-Options:Deny'); ?>
复制代码 Apache主机方法! L5 Y! v1 o: ]6 p3 e
- Header always append X-Frame-Options SAMEORIGIN
复制代码 Nginx主机方法: }# V$ o4 P; S4 a4 N$ S3 f# l
- add_header X-Frame-Options "SAMEORIGIN";
复制代码 . N: F7 c }% I. h) }3 O9 k
.htaccess方法0 |4 o9 [, K* R9 k/ h# F
在网站根目录下的.htaccess文件中中加一句* X: K$ q M. G5 f3 E# X9 r( F
- Header append X-FRAME-OPTIONS "SAMEORIGIN"
复制代码 9 Y d% _& o* W( l9 M
IIS方法
0 s6 p8 ~4 a9 ?! x, M. O在web.config文件中加- <system.webServer>
+ O, Y/ [( k8 f& h3 W% x; i' L - ...
a) q6 C3 r4 h( c& h" A, o - <httpProtocol># t* `' P4 f6 q' e% e7 G8 D3 `& h
- <customHeaders># c; _ h& D/ q
- <add name="X-Frame-Options" value="SAMEORIGIN" />
# U0 G: A* I" g |6 s1 t - </customHeaders> ; L! D( z; C$ f- \, \) ^9 h
- </httpProtocol> j( s$ _' V' x% s4 G
- ...
: k. O, u; r3 r; U5 B/ X+ }; J - </system.webServer>
复制代码 5 B% ?# F0 Z5 ?; S. u
之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。
" L3 J4 `9 p- m- n1 U- F/ }7 w$ w3 g# N
3、推荐解决方法。
9 \3 w; w2 e1 E* K9 I- <script language="javascript"> / K2 A4 U7 Y" q1 ^4 u
- if(top != self){
9 H7 f) w* l# e* }- L, r. j! l - location.href = "http://xp6.org/iframe.html";
% M- N" m5 c4 F$ c9 V- d, B - top.location.href=self.location.href;7 q1 u7 p4 D1 q& W
- } 8 b( ]3 h/ R! v
- </script>
复制代码 1 X$ }5 W6 F- p+ Q4 ~+ s
将上面的代码复制到需要屏蔽页面<head>里面加载。
/ R( Q0 o3 f8 I" z- {制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
& T8 w2 L, J# r+ d+ L) _+ ]! z$ j原理:$ F+ v6 a9 _7 m! o; D; Z0 X
第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。
5 U6 `$ r' Y; \* t第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。
, w* L1 q& m% q. ~5 e目前测试这种方法没什么问题。( }2 w& n% C9 ^* x
) Q6 e+ B! `3 S* h, a |
|