如何防止自己的网页被别人iframe嵌入

happyxp · 发表于 2020-11-16 17:30:36

前面说了如何阻止 iframe里引用的网页自动跳转，已达到iframe页面的目的。
这次讲一下如何防止自己的网页被别人iframe。

1、这些方法都可行，但不是太可靠。

<script language="javascript">! \+ H9 {, _& N k4 y% p/ {
if( top.location != self.location) top.location.href=self.location.href;
4 z* m- T( S; ~/ s4 B* I' p3 B
</script>

复制代码

或

<script language="javascript">: f9 u+ h! I8 V$ ]
if (top.location != location) top.location.href = location.href;5 A* K. C f( C+ N5 b: N& R
</script>

复制代码

或

<script language="javascript">
( F9 p/ t5 o( Z3 r
if (top.location != self.location) {top.location=self.location;}
1 h+ q" n. D$ f8 T8 F9 L0 `9 A7 a. A
</script>

复制代码

或

<script language="javascript">! z8 q7 N+ Q# o. P/ [/ z/ S, r+ A
if (top.frames.length!=0) top.location=self.document.location;! g5 A* v! Q! D' T, n' N% t4 z1 a. X
</script>

复制代码

不可靠的原因：
当别人用如下类似代码做IFRAME嵌套调用时，就可能躲过你的页面的javascript代码。

<iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>$ H% w/ e$ d* q( j
<script language="javascript"> / x3 I' n0 ` W5 w
var location="";
, k: I- K" |" r& {+ C1 l: C4 ]
var navigate="";9 @( X! r9 p7 q/ y, k/ {& z
frames[0].location.href="";
4 r* W. @( z g$ h( J7 D! N
</script>

复制代码

或

<iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">

复制代码

或

<script type="text/javascript" charset="utf-8">
1 E( M, Y5 W. L0 v; O5 {
document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');
3 d) y/ n, c" ?$ s0 W% I7 M/ ?% z
</script>

复制代码

2、代码层次的屏蔽，方法可行，但不是很人性化。
Meta标签方法

<meta http-equiv="X-FRAME-OPTIONS" content="DENY">

复制代码

PHP方法

<?php header('X-Frame-Options:Deny'); ?>

复制代码

Apache主机方法

Header always append X-Frame-Options SAMEORIGIN

复制代码

Nginx主机方法

add_header X-Frame-Options "SAMEORIGIN";

复制代码

.htaccess方法
在网站根目录下的.htaccess文件中中加一句

Header append X-FRAME-OPTIONS "SAMEORIGIN"

复制代码

IIS方法
在web.config文件中加

<system.webServer>
( n' i3 \3 D% Y/ ]
...
6 ?, Q4 u2 Q- K
<httpProtocol>
|/ g' [$ Y8 t( z6 w7 |
<customHeaders>; _* t8 F9 v2 `/ X6 X- T! `
<add name="X-Frame-Options" value="SAMEORIGIN" /> ; _& M2 K% r: l" m `: @& i
</customHeaders> # P6 T" R: b: Q- E; D3 u j3 a+ x
</httpProtocol>
& E/ l. w$ L; {/ J5 V$ ?- E: n
...
$ B2 \; u+ S3 ?! E# _$ b; Z
</system.webServer>

复制代码

之所以说不人性化，是因为这样操作之后，别人iframe会显示服务器拒绝之类的信息，虽然是屏蔽了，但是自己网站也不能宣传了。

3、推荐解决方法。

<script language="javascript"> ( c0 {# b3 F, w" D7 l7 D
if(top != self){
: s0 k: Y! G1 G# Z
location.href = "http://xp6.org/iframe.html";
' v4 w `; N: X; N: a B( u" D
top.location.href=self.location.href;6 v) M$ B! T! l7 w# _
}
1 e4 o, S% o) w6 f
</script>

复制代码

将上面的代码复制到需要屏蔽页面<head>里面加载。
制作一个iframe.html页面里面放张网站宣传图片，加个链接，放到网站根目录。
原理：
第一步直接强制访问咱自己设定的iframe.html页面，如果网站禁用了JS跳转，那么执行到这一步就结束了，这样即使他们iframe了咱的网站，看到的只是咱的图片宣传页。
第二步，如果没有禁用JS，那么会接着执行top.location.href=self.location.href; ，然后跳转到我们的网址页面。
目前测试这种方法没什么问题。

[网站] 如何防止自己的网页被别人iframe嵌入