搜索
查看: 14671|回复: 0

[网站] 如何防止自己的网页被别人iframe嵌入

[复制链接]
发表于 2020-11-16 17:30:36 | 显示全部楼层 |阅读模式
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。
0 o; J3 L" V  I; ?" h这次讲一下如何防止自己的网页被别人iframe。- g  W' n+ Q; d, b6 P# ^
% f( t9 R7 l) V' A+ ?, }6 f
1、这些方法都可行,但不是太可靠。
% B1 f1 _! w  l5 k! j
  1. <script language="javascript">, C. h3 [4 M  D1 W3 L/ m
  2. if( top.location != self.location) top.location.href=self.location.href;
    3 X: ?0 V) p: X0 c3 k5 I
  3. </script>
复制代码

# Z6 ]0 ?+ K% c
  1. <script language="javascript">) _9 x& E0 M1 C! h
  2. if (top.location != location) top.location.href = location.href;6 i& L/ @) D( j& M
  3. </script>
复制代码

! d5 o( m" H3 D
  1. <script language="javascript">
    5 T, Q1 H# h7 |, ~
  2. if (top.location != self.location) {top.location=self.location;}
    ; K# U" U! Z- E2 u0 p# O+ A( ?
  3. </script>
复制代码
0 n5 u4 E. S: b0 i( ^, Y
  1. <script language="javascript">
    ) h& D7 j, f7 b% I: w, t$ ^  ~: a$ t
  2. if (top.frames.length!=0) top.location=self.document.location;' Q3 U# I0 N# ^" o! ?0 f) m
  3. </script>
复制代码
不可靠的原因:. w8 t2 f! [, H& C1 s" ]" z
当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。5 j! P- {8 w( }2 K9 E
  1. <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv"  framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
    * i! c- J1 ~# g; w
  2. <script language="javascript">
    6 }0 m/ m& q. [
  3. var location="";
    9 V4 ~3 h/ {2 H# @' k0 |3 U
  4. var navigate="";
    + D3 t/ [0 i& X( {2 L/ u; o8 m
  5. frames[0].location.href="";
    4 ^; S8 Z  A9 p9 l
  6. </script>
复制代码

+ y1 `% E5 U! d4 I
  1. <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
复制代码
# G4 `; `' K* O0 x6 ]# @3 P: |$ G

: H% D/ Z, e" c1 z- B/ Z. ]
  1. <script type="text/javascript" charset="utf-8">
    ) y' [- y. w& a. t: o, V
  2. document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');
    ) {' O* c8 E" ]. S
  3. </script>
复制代码
2、代码层次的屏蔽,方法可行,但不是很人性化。! \, J. A! |: x
Meta标签方法
9 H1 I5 M! a0 W. ?$ V' X2 C8 @
  1. <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
复制代码
PHP方法1 d- ^4 t3 U& H% m4 `; z
  1. <?php header('X-Frame-Options:Deny'); ?>
复制代码
Apache主机方法2 m3 U) l! R5 o2 R, D
  1. Header always append X-Frame-Options SAMEORIGIN
复制代码
Nginx主机方法
' w9 C3 |/ p. v7 ?
  1. add_header X-Frame-Options "SAMEORIGIN";
复制代码

) C! n7 L3 _1 O.htaccess方法. ~/ ~) }7 T1 m( W$ h
在网站根目录下的.htaccess文件中中加一句
$ x* _+ d6 w$ {% G$ P: K2 d
  1. Header append X-FRAME-OPTIONS "SAMEORIGIN"
复制代码

" C) M1 S$ C& w2 ^! L0 Q& AIIS方法
- ?4 L' w( V  y. v在web.config文件中加
  1. <system.webServer>
    . s3 |/ u0 E. G1 l# X# \% Z
  2.   ...- ~% e+ C$ F! b# E, S3 Y
  3.   <httpProtocol># e# n# V3 U6 G) X% g
  4.     <customHeaders>
    5 N( i% w8 s  I
  5.       <add name="X-Frame-Options" value="SAMEORIGIN" />      $ Q( h, i! p4 b5 m. j* R7 L
  6.     </customHeaders>    6 |5 F; u) W. f$ D" V% S5 I- H
  7.   </httpProtocol>  
    ' T) Y4 Y  W- H6 U) ]7 K2 e5 u
  8.   ...
    6 d& v" E* x  i3 K
  9. </system.webServer>
复制代码
0 s# m6 w' R( K4 A
之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。% Z) v. e9 @: J) r6 X
$ X, |  q6 f; I% J5 v
3、推荐解决方法。( p4 `  f; x. y4 A! E) A) ]
  1. <script language="javascript">  
    ) O  C4 @. b. Z' r  Y0 q; ~3 D; E
  2. if(top != self){" S% C- H1 u) n8 \6 Q0 B
  3.     location.href = "http://xp6.org/iframe.html";  1 d+ J1 c/ K' p
  4.     top.location.href=self.location.href;3 F- e  J3 ]3 {. J- Z
  5. }  
    4 S9 b6 e, J/ g7 z
  6. </script>
复制代码
: o7 {. G* A  E' {
将上面的代码复制到需要屏蔽页面<head>里面加载。
8 Q; r9 p" }4 u+ V' x. ]: h; [4 i制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
' O5 A4 [4 i' b3 ]. `9 D3 k- }原理:
* G6 ^. }" ]6 n第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。( M' r1 S' b. A5 O2 K
第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。: N. U8 ~  `0 Z9 H8 r8 Y" v0 G
目前测试这种方法没什么问题。5 [+ X% b9 m% P* ]. Z# w

8 |) V% U3 m6 e' z; k4 J
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册帐号

本版积分规则

热议作品
精华帖子排行
精彩推荐

虾皮社区,成立十年了!

站长自己也搞不懂想做个什么,反正就是一直在努力的做!

Copyright © 2007-2019 xp6.org Powered by Discuz

QQ|Archiver|手机版|小黑屋|虾皮社区 鲁公网安备 37021102000261号 |网站地图
返回顶部 返回列表