|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。
& _7 j2 T* O1 }这次讲一下如何防止自己的网页被别人iframe。
# ~3 ~! `5 Z2 W% |$ p6 P* i; V) w7 b* w) b
1、这些方法都可行,但不是太可靠。
8 B+ K1 p: c/ b% }' n- <script language="javascript">8 A$ W& P7 ]2 b! X8 Q2 a
- if( top.location != self.location) top.location.href=self.location.href;
$ b3 r; U' Z: N3 j - </script>
复制代码 或
) c5 {5 T, M4 Z- <script language="javascript">4 B7 A% ^9 ^! P9 w. @" m
- if (top.location != location) top.location.href = location.href;
% H. R& x) E3 _6 o - </script>
复制代码 或1 Y a: T) p1 i/ e
- <script language="javascript">8 d6 S$ c. {) ^& h' w
- if (top.location != self.location) {top.location=self.location;}
1 Q/ M2 }" g% X4 ]* c - </script>
复制代码 或
9 ]6 J1 y- M/ @) }. G) s* v b- <script language="javascript">6 }% h9 ]: I) q+ j0 `+ A3 f$ `
- if (top.frames.length!=0) top.location=self.document.location;
) y6 z& }; @7 P8 ^! P# r - </script>
复制代码 不可靠的原因:
2 Q8 b% [6 q0 u' P0 n当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。" a% W% I f* G9 Z) r7 ]; D; Y
- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>( X, o, G+ c1 o9 M* f" O8 e5 p# Q& j
- <script language="javascript"> 6 X1 _( I' H9 |$ i
- var location="";
3 `! _9 `( O+ }8 N! _ - var navigate="";
8 R9 w0 [& N, e/ J, b - frames[0].location.href="";& h$ w9 m$ R9 W1 V- X# R0 @8 r6 Y
- </script>
复制代码 或
# U# f' n; `/ n1 {. |0 o8 \1 J; A- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
复制代码 或
1 M& G% D8 k, A' T
& h/ x2 Z* w& j& P9 i- <script type="text/javascript" charset="utf-8">
& g8 H7 V- j5 l; }5 I - document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');4 E$ P! M1 j; W. y
- </script>
复制代码 2、代码层次的屏蔽,方法可行,但不是很人性化。8 M! ?7 N X3 {; S
Meta标签方法# o! @( z- i( B8 I8 w: {) Q" s2 t
- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
复制代码 PHP方法. {1 x3 N9 W7 i& n
- <?php header('X-Frame-Options:Deny'); ?>
复制代码 Apache主机方法
1 Q' G- v# t. _8 {) S8 r- Header always append X-Frame-Options SAMEORIGIN
复制代码 Nginx主机方法1 U! O6 j5 b4 Y
- add_header X-Frame-Options "SAMEORIGIN";
复制代码 " |9 t1 s& K# B. m4 |2 K6 k+ G
.htaccess方法
4 S9 M" x% k, P; m在网站根目录下的.htaccess文件中中加一句
( o- f" X) H" m2 w- r. Z- Header append X-FRAME-OPTIONS "SAMEORIGIN"
复制代码 : K1 v% g5 Y9 S8 p: ^$ {
IIS方法1 H G* R- r) F, g6 V6 O
在web.config文件中加- <system.webServer>0 ~) b# W0 o( _7 i) W
- .../ w- x& b; Z7 D3 E7 U E
- <httpProtocol>
1 @# v2 l2 x2 I: l0 l& l$ z - <customHeaders>& {+ i( ~9 |4 G! {! [
- <add name="X-Frame-Options" value="SAMEORIGIN" />
8 @* f& t1 n% K: @5 O - </customHeaders>
: V3 }* K' A$ p7 o - </httpProtocol>
$ e2 t2 A3 G' f: u - ...
* {3 x$ d [( n4 I9 X) d8 n - </system.webServer>
复制代码 0 b. I8 }2 i7 e5 j
之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。
8 Z* O2 S" Z1 N% N8 a; Y8 \
p8 _0 K3 V; Q; M; l' F6 |3、推荐解决方法。
" y" R. f9 H! H/ b- <script language="javascript">
, l `1 x% u X# D4 o# n - if(top != self){
) F" d' |5 t5 F3 X- u2 k - location.href = "http://xp6.org/iframe.html";
3 v( Y' d$ x. a' Q - top.location.href=self.location.href;
" f: `5 L# P5 |* L2 |2 @ - }
8 y0 l K- v- I6 _" z7 A - </script>
复制代码 9 i8 A# h( B* S2 r+ ]0 G
将上面的代码复制到需要屏蔽页面<head>里面加载。' J J$ A0 k3 ]$ W
制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
; m: u7 j1 O3 {/ K |1 S( q3 {! o原理:
& _) i% F" k3 o f' s! `) {4 H第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。
d Q, N# n( L) c2 x第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。
2 ]' B$ o$ k o$ S! F3 \6 f+ y目前测试这种方法没什么问题。
. b: c. F8 i1 M0 l2 M
8 Y" F3 p: F8 X9 b% j |
|