如何防止自己的网页被别人iframe嵌入

happyxp · 发表于 2020-11-16 17:30:36

前面说了如何阻止 iframe里引用的网页自动跳转，已达到iframe页面的目的。
这次讲一下如何防止自己的网页被别人iframe。

1、这些方法都可行，但不是太可靠。

<script language="javascript">
( S% K4 `) C- b% f6 n7 Z5 C C5 Y$ Y
if( top.location != self.location) top.location.href=self.location.href;" r& [( T9 L4 l6 t3 T
</script>

复制代码

或

<script language="javascript"># Y4 B- P( H* m" R% T1 ^
if (top.location != location) top.location.href = location.href;
8 b& d7 T& K T
</script>

复制代码

或

<script language="javascript">5 P! r! D2 O- g- c9 t: _: Y% j8 ~
if (top.location != self.location) {top.location=self.location;}. [! Y) ?2 E( ?. x+ }6 N9 D" z
</script>

复制代码

或

<script language="javascript">& R. |& B. l5 @) `6 `
if (top.frames.length!=0) top.location=self.document.location;, C1 n2 \0 Z5 T6 q5 W% g9 o% D( ]
</script>

复制代码

不可靠的原因：
当别人用如下类似代码做IFRAME嵌套调用时，就可能躲过你的页面的javascript代码。

<iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>& i* h1 U+ V7 [& k5 _) F
<script language="javascript"> 7 z) J y( q0 m' F
var location="";: P) |5 m5 n1 R
var navigate="";
5 ^$ O1 H# K, ^) L
frames[0].location.href="";8 F3 y C4 \0 F
</script>

复制代码

或

<iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">

复制代码

或

<script type="text/javascript" charset="utf-8">2 [/ k! d/ M6 @/ [' Y! t" |" v
document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');
, {) k J0 X' O9 f" a
</script>

复制代码

2、代码层次的屏蔽，方法可行，但不是很人性化。
Meta标签方法

<meta http-equiv="X-FRAME-OPTIONS" content="DENY">

复制代码

PHP方法

<?php header('X-Frame-Options:Deny'); ?>

复制代码

Apache主机方法

Header always append X-Frame-Options SAMEORIGIN

复制代码

Nginx主机方法

add_header X-Frame-Options "SAMEORIGIN";

复制代码

.htaccess方法
在网站根目录下的.htaccess文件中中加一句

Header append X-FRAME-OPTIONS "SAMEORIGIN"

复制代码

IIS方法
在web.config文件中加

<system.webServer>
0 u6 L, d, \9 P0 i
...! [) `* |0 w* l6 Z8 z9 Q
<httpProtocol>( L3 l2 H* s# k3 _$ W5 y7 G
<customHeaders>
2 i0 O" \0 [) Y' h
<add name="X-Frame-Options" value="SAMEORIGIN" />
8 z/ I0 s& B; ]0 H, @4 N
</customHeaders>
3 u3 a8 @ U6 n& B+ K5 }2 r, Y4 y+ z
</httpProtocol>
! D6 F5 W' l, E- W3 b# ~
..." M& c# ?. }$ _2 G
</system.webServer>

复制代码

之所以说不人性化，是因为这样操作之后，别人iframe会显示服务器拒绝之类的信息，虽然是屏蔽了，但是自己网站也不能宣传了。

3、推荐解决方法。

<script language="javascript"> # y: F+ U8 q7 |9 i @
if(top != self){. g% Z V* P' h* }0 q/ y
location.href = "http://xp6.org/iframe.html"; & E# M4 w/ H, g) Y4 }- k, {
top.location.href=self.location.href;- C1 {7 o9 n- q" S a& m+ x3 n2 `
}
5 ^/ l) y. A. h4 j1 q. y8 f9 h% w* ?
</script>

复制代码

将上面的代码复制到需要屏蔽页面<head>里面加载。
制作一个iframe.html页面里面放张网站宣传图片，加个链接，放到网站根目录。
原理：
第一步直接强制访问咱自己设定的iframe.html页面，如果网站禁用了JS跳转，那么执行到这一步就结束了，这样即使他们iframe了咱的网站，看到的只是咱的图片宣传页。
第二步，如果没有禁用JS，那么会接着执行top.location.href=self.location.href; ，然后跳转到我们的网址页面。
目前测试这种方法没什么问题。

[网站] 如何防止自己的网页被别人iframe嵌入