|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。
]3 B j( L* d6 T这次讲一下如何防止自己的网页被别人iframe。
' s, S* x5 y- f) v( i6 G% [" k# i/ M& a% A, T+ q! p
1、这些方法都可行,但不是太可靠。( M3 p8 v: D# p: o& z
- <script language="javascript">
, R$ s. D4 Q/ h5 b: o - if( top.location != self.location) top.location.href=self.location.href;
: D/ D. T" S$ R9 T4 |/ }# D z4 r& \ - </script>
复制代码 或
5 F4 p& S1 P! P& X L) l0 K- <script language="javascript">/ x1 a+ } ~4 k& ]9 p F
- if (top.location != location) top.location.href = location.href;, H4 Z5 F% r; C J# v
- </script>
复制代码 或# _, {3 U8 V$ T1 }5 G+ \# |( `
- <script language="javascript">: X6 |& t) v% v" T8 M
- if (top.location != self.location) {top.location=self.location;}
5 R& }; G5 r3 n( s - </script>
复制代码 或
/ h+ m- K$ {8 l2 z- <script language="javascript">
/ S M" w. l. r: t - if (top.frames.length!=0) top.location=self.document.location;: _0 {8 ], m4 d0 V" W
- </script>
复制代码 不可靠的原因:% V x$ v" n8 ?8 R/ t+ O1 V1 t
当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。) Y8 A) l/ l: S% ?9 u
- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>! }5 N2 Y6 w. I7 X6 b+ r
- <script language="javascript"> & X, Q8 p* c1 v. I% n
- var location="";) ?" }- j" ^' z
- var navigate="";0 w( E7 W0 L: i0 O3 q. c5 N, d
- frames[0].location.href="";
; J0 v$ {. L6 T$ X: g& _. b - </script>
复制代码 或* _* X" s4 a0 L" W E. U
- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
复制代码 或, T3 \) H8 ]6 Y
/ L" u& W, \( y: c! b9 W: ~- <script type="text/javascript" charset="utf-8">2 W2 [7 U& K" ~& H$ T+ V8 L' ~
- document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');6 {3 |: ^7 N! J: B6 g
- </script>
复制代码 2、代码层次的屏蔽,方法可行,但不是很人性化。 V/ @1 C4 X8 [7 ~) c1 s8 L L
Meta标签方法
! M( y: u, v- d- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
复制代码 PHP方法
) d* s( x4 _, _& i7 L6 S- <?php header('X-Frame-Options:Deny'); ?>
复制代码 Apache主机方法
5 f$ @$ \: u- J1 `- Header always append X-Frame-Options SAMEORIGIN
复制代码 Nginx主机方法7 P. y: l, l. q3 `# N# C& o
- add_header X-Frame-Options "SAMEORIGIN";
复制代码
' |. J: q. o: f.htaccess方法4 v( o+ `! K, P5 {0 o( t
在网站根目录下的.htaccess文件中中加一句
- p; X$ W6 S3 }# g0 d4 j- Header append X-FRAME-OPTIONS "SAMEORIGIN"
复制代码 9 P0 }! n' `! G6 _9 M0 V |4 s# W
IIS方法/ }0 y2 A; f" Y, {
在web.config文件中加- <system.webServer>
$ E. n: f2 h: ~ ]: k - ...4 E |6 c6 c! j0 U" _
- <httpProtocol>
6 U$ |2 S, X6 Q, @1 @$ i - <customHeaders>4 K% P" N1 k: H9 \% h1 H
- <add name="X-Frame-Options" value="SAMEORIGIN" />
t; ~; P# O, z- S5 H - </customHeaders> , t' L1 x3 Q! m( L
- </httpProtocol> + G3 r3 V( ]' y. j: ]5 R4 S! X
- ...
+ v+ i% H3 f6 u8 H) N/ z3 w - </system.webServer>
复制代码 7 v, F/ R+ `- V& h: X# A
之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。
9 c7 O+ @! \6 e a
* T# U, R) h) [* g4 p$ | ] A" U" e3、推荐解决方法。
' R0 {: s9 _; T b- g0 G+ U: p- <script language="javascript">
% c' K, Z9 P7 g+ u: J$ P: [- Z O% ^ - if(top != self){
* ^$ A( J( O( q: G, o - location.href = "http://xp6.org/iframe.html";
# c5 r- e6 \/ L$ w - top.location.href=self.location.href;. w; g9 \/ j2 w5 S3 M# i5 K5 p
- } ) B( m! ?' v4 L1 [: A
- </script>
复制代码 0 O4 ^6 U3 D# Y8 y: u0 R: h
将上面的代码复制到需要屏蔽页面<head>里面加载。% _# j3 p& a# C6 Z% x
制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。, \" Y; h6 R: m
原理:, G* Z6 b+ _5 @" h* e# \
第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。
, O- I0 C% e' U- N) ~第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。4 J' M d7 P% i" i
目前测试这种方法没什么问题。
* a& F% l" I9 P- w- P$ V1 ]* j& d3 l' h9 {- {4 c
|
|