|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。
: V% a0 _8 {! ]# o# @4 @* z这次讲一下如何防止自己的网页被别人iframe。: h2 `/ o; D' H# H; o: `
1 ]# u/ N; o5 y" f/ A
1、这些方法都可行,但不是太可靠。
4 n3 \5 s7 _6 ^' R0 L6 r9 B- <script language="javascript"># o' J, r' G3 [
- if( top.location != self.location) top.location.href=self.location.href;
2 c! | \' m2 _% i# S! m0 i, s - </script>
复制代码 或
, c* h8 @5 I& \) j6 r- H+ Z- <script language="javascript">
) d2 S& x( P2 F% w6 D$ D, m% u. K - if (top.location != location) top.location.href = location.href;
9 o* h6 E5 E3 b3 ^3 f - </script>
复制代码 或6 E, ^. I* P7 I* k
- <script language="javascript">4 G& D2 ~7 w5 u, J6 ]* [
- if (top.location != self.location) {top.location=self.location;}% I4 |2 `' b+ R9 F* K6 s
- </script>
复制代码 或
! W1 W, \7 k8 \4 k. c! v- <script language="javascript">( V/ W/ t; k3 s- U
- if (top.frames.length!=0) top.location=self.document.location;6 `+ i3 }8 h# |$ G" n
- </script>
复制代码 不可靠的原因:
, m- a2 X% K9 a4 S H0 w当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。0 M+ ^9 _; N4 Z* G. [) ~# s
- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>5 R3 T* F- p. X' F7 V) F$ |
- <script language="javascript">
, ?& J. G8 s0 c( ^* X - var location="";4 G; u2 F- c$ L$ B4 E
- var navigate="";* C/ R$ c" Z0 m
- frames[0].location.href="";
5 L7 h, g$ k, W& ]" K - </script>
复制代码 或( L9 o& l# |& k K3 e9 Q4 t! T$ Q
- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
复制代码 或% o+ \0 n& f( y5 E2 N; i
. P+ o9 |% A7 U- t7 m; a! o- <script type="text/javascript" charset="utf-8">- _8 s2 K) C4 @+ _8 {
- document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');
3 i% q" [$ X6 B/ Y7 h - </script>
复制代码 2、代码层次的屏蔽,方法可行,但不是很人性化。" @0 M# Z9 c) U, n* P9 R" M
Meta标签方法
2 u: D1 Z& N* r9 F; {- q* C0 N- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
复制代码 PHP方法0 _+ Q# ^6 j2 a) W
- <?php header('X-Frame-Options:Deny'); ?>
复制代码 Apache主机方法
6 L9 \1 b5 q5 w- Header always append X-Frame-Options SAMEORIGIN
复制代码 Nginx主机方法
: U5 G; b/ } i D- add_header X-Frame-Options "SAMEORIGIN";
复制代码 # y) w8 {* z- Q0 [8 `7 J, Y
.htaccess方法0 u b- o. y! D( p, [( l6 w
在网站根目录下的.htaccess文件中中加一句) K& T0 H* I& E6 {
- Header append X-FRAME-OPTIONS "SAMEORIGIN"
复制代码
% `7 z1 p3 P# {5 }IIS方法
1 q2 i; j' p% g' @4 C) P2 c1 P+ d在web.config文件中加- <system.webServer>% o% @# j6 {9 N" s
- ...% n1 V5 V Y7 \; U
- <httpProtocol>
# g! X( P& U! }" e* S - <customHeaders>- ?% R( E4 m! ^
- <add name="X-Frame-Options" value="SAMEORIGIN" />
1 S! a+ f u$ o) h - </customHeaders> : P5 x/ v: {3 h/ |7 Y; C- W
- </httpProtocol>
J1 a/ T2 h5 k7 q- B2 r - ...
2 O1 o2 k% A1 ~$ Z1 u2 v8 q6 h( C - </system.webServer>
复制代码
: e' Y; A1 r9 N! a- p之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。
1 G! }1 m2 S/ @7 m3 Z) d* T9 @- l! A) ~4 L3 b, O: {# n
3、推荐解决方法。& O3 `" |+ R! J; c# v' I
- <script language="javascript"> 7 N5 e2 S2 h! k8 s; W
- if(top != self){6 b5 z! F) o! }6 @4 J
- location.href = "http://xp6.org/iframe.html"; + ~+ p0 b0 J1 |0 b& Y4 M4 j
- top.location.href=self.location.href;- m3 k. k2 u1 U u3 b9 L L
- } - L5 W0 a' I2 a' n; W
- </script>
复制代码 5 q. d8 }' _5 @2 {
将上面的代码复制到需要屏蔽页面<head>里面加载。+ ~' F# L. R7 c* e" ~. O Z- U
制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
' s; n/ k" o0 p8 E原理:
! J3 {$ B% \+ p. N. R第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。
% W6 X2 u5 I; P. M" \第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。$ W8 M4 F5 H: L' f
目前测试这种方法没什么问题。1 D# |# r. v4 H4 W
u5 f) }8 G8 ^, ]. F( X' k5 w" _
|
|