|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。
0 o; J3 L" V I; ?" h这次讲一下如何防止自己的网页被别人iframe。- g W' n+ Q; d, b6 P# ^
% f( t9 R7 l) V' A+ ?, }6 f
1、这些方法都可行,但不是太可靠。
% B1 f1 _! w l5 k! j- <script language="javascript">, C. h3 [4 M D1 W3 L/ m
- if( top.location != self.location) top.location.href=self.location.href;
3 X: ?0 V) p: X0 c3 k5 I - </script>
# Z6 ]0 ?+ K% c- <script language="javascript">) _9 x& E0 M1 C! h
- if (top.location != location) top.location.href = location.href;6 i& L/ @) D( j& M
- </script>
! d5 o( m" H3 D- <script language="javascript">
5 T, Q1 H# h7 |, ~ - if (top.location != self.location) {top.location=self.location;}
; K# U" U! Z- E2 u0 p# O+ A( ? - </script>
- <script language="javascript">
) h& D7 j, f7 b% I: w, t$ ^ ~: a$ t - if (top.frames.length!=0) top.location=self.document.location;' Q3 U# I0 N# ^" o! ?0 f) m
- </script>
当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。5 j! P- {8 w( }2 K9 E
- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
* i! c- J1 ~# g; w - <script language="javascript">
6 }0 m/ m& q. [ - var location="";
9 V4 ~3 h/ {2 H# @' k0 |3 U - var navigate="";
+ D3 t/ [0 i& X( {2 L/ u; o8 m - frames[0].location.href="";
4 ^; S8 Z A9 p9 l - </script>
+ y1 `% E5 U! d4 I- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
: H% D/ Z, e" c1 z- B/ Z. ]- <script type="text/javascript" charset="utf-8">
) y' [- y. w& a. t: o, V - document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');
) {' O* c8 E" ]. S - </script>
Meta标签方法
9 H1 I5 M! a0 W. ?$ V' X2 C8 @- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
- <?php header('X-Frame-Options:Deny'); ?>
- Header always append X-Frame-Options SAMEORIGIN
' w9 C3 |/ p. v7 ?- add_header X-Frame-Options "SAMEORIGIN";
) C! n7 L3 _1 O.htaccess方法. ~/ ~) }7 T1 m( W$ h
在网站根目录下的.htaccess文件中中加一句
$ x* _+ d6 w$ {% G$ P: K2 d- Header append X-FRAME-OPTIONS "SAMEORIGIN"
" C) M1 S$ C& w2 ^! L0 Q& AIIS方法
- ?4 L' w( V y. v在web.config文件中加- <system.webServer>
. s3 |/ u0 E. G1 l# X# \% Z - ...- ~% e+ C$ F! b# E, S3 Y
- <httpProtocol># e# n# V3 U6 G) X% g
- <customHeaders>
5 N( i% w8 s I - <add name="X-Frame-Options" value="SAMEORIGIN" /> $ Q( h, i! p4 b5 m. j* R7 L
- </customHeaders> 6 |5 F; u) W. f$ D" V% S5 I- H
- </httpProtocol>
' T) Y4 Y W- H6 U) ]7 K2 e5 u - ...
6 d& v" E* x i3 K - </system.webServer>
之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。% Z) v. e9 @: J) r6 X
$ X, | q6 f; I% J5 v
3、推荐解决方法。( p4 ` f; x. y4 A! E) A) ]
- <script language="javascript">
) O C4 @. b. Z' r Y0 q; ~3 D; E - if(top != self){" S% C- H1 u) n8 \6 Q0 B
- location.href = "http://xp6.org/iframe.html"; 1 d+ J1 c/ K' p
- top.location.href=self.location.href;3 F- e J3 ]3 {. J- Z
- }
4 S9 b6 e, J/ g7 z - </script>
将上面的代码复制到需要屏蔽页面<head>里面加载。
8 Q; r9 p" }4 u+ V' x. ]: h; [4 i制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
' O5 A4 [4 i' b3 ]. `9 D3 k- }原理:
* G6 ^. }" ]6 n第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。( M' r1 S' b. A5 O2 K
第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。: N. U8 ~ `0 Z9 H8 r8 Y" v0 G
目前测试这种方法没什么问题。5 [+ X% b9 m% P* ]. Z# w
8 |) V% U3 m6 e' z; k4 J |
|
发表于 2020-11-16 17:30:36
千斤顶
显身卡
鲁公网安备 37021102000261号