|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。1 A# J+ g: K& ~: d
这次讲一下如何防止自己的网页被别人iframe。
: S, C# U0 `3 n6 I: O& ^0 K# Z6 U; D: X) S5 w1 g n+ r2 e
1、这些方法都可行,但不是太可靠。* ~- c% v/ [; [8 C0 D5 b6 r
- <script language="javascript">! J+ ~6 f* y. r L6 Q
- if( top.location != self.location) top.location.href=self.location.href;7 D+ K; t& P# g& Y! M( A! I
- </script>
8 P8 F" _3 O$ a; R( n; P5 X L- <script language="javascript">6 B7 p) Z4 x# Q
- if (top.location != location) top.location.href = location.href;
' L8 M2 U" l m. ~$ K- Z) Y* R5 T - </script>
- <script language="javascript">$ k4 q4 {0 p7 ^4 B6 R( K
- if (top.location != self.location) {top.location=self.location;}
9 x# f0 G' }8 L: N/ { - </script>
a d4 O( I+ S/ W# ]- <script language="javascript">! y- i/ P7 f! i5 e4 |
- if (top.frames.length!=0) top.location=self.document.location;
8 e- Q5 M' _' B - </script>
. g! ^/ @8 b. k* g6 p. J8 ~8 C当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。
0 u# H& x1 S. X/ O) {3 o: ^2 Z- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
6 Y$ Y) D% K$ @8 C; C( j# V7 J - <script language="javascript"> : o' J9 }. O& g0 [( X
- var location="";
, H+ @& E' G, Y- l+ a( @0 L - var navigate="";% l) r( p+ {7 ^; e
- frames[0].location.href="";
6 I" z% ^/ @$ Y9 v9 `1 V, M& P3 } - </script>
- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
. e U: v0 v2 C8 ?; q3 n3 z/ Y
- <script type="text/javascript" charset="utf-8">
, p6 m" A# Y' e0 |% @7 W2 x: O' Y- T - document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');
3 ~- {8 Y. k) C% X. z. I - </script>
" T6 s. X/ N: U- K6 y3 zMeta标签方法
- k$ q& Z! K; ^# w- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
- <?php header('X-Frame-Options:Deny'); ?>
8 y5 n6 D3 e8 y: \- Header always append X-Frame-Options SAMEORIGIN
1 Z' i+ {# a! v& @8 m) Z- add_header X-Frame-Options "SAMEORIGIN";
8 e' g; _; ?+ _$ |.htaccess方法3 e! s# }4 Q+ B0 e6 a
在网站根目录下的.htaccess文件中中加一句
4 u$ X4 h/ Y9 X8 b1 @$ a- Header append X-FRAME-OPTIONS "SAMEORIGIN"
9 P4 {0 Y$ y7 X4 M3 DIIS方法. Z$ a5 [6 V# g, }
在web.config文件中加- <system.webServer>
6 j4 G0 v, f$ I6 e0 N5 R2 j - ...
u+ y; C# F7 w6 `2 o - <httpProtocol>+ B5 f3 ?1 A4 \. d, [
- <customHeaders>
) Y8 y7 h+ H f9 _9 C% t - <add name="X-Frame-Options" value="SAMEORIGIN" /> 5 e8 u/ I4 r; H2 O: O8 q
- </customHeaders> : E! j& M) o4 @6 L
- </httpProtocol>
8 D" \& C* w/ P, ` - ...
7 |7 h) v: p6 k& Y8 l" D - </system.webServer>
! y3 W$ G. R2 B" s8 r) M之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。$ P% z) k U! J
8 p1 J: j9 h+ v% V" Y3 x3、推荐解决方法。5 {# l* w- J$ t7 c
- <script language="javascript">
. @8 x9 _3 Y7 y; S2 m" w - if(top != self){3 K: O$ f9 }! a
- location.href = "http://xp6.org/iframe.html";
( w9 t( _* ^9 s, ^; c" X, C8 V - top.location.href=self.location.href;; _, r2 K" C/ E( d
- }
3 l" ~+ K; J! ~0 m% [# R" d7 B - </script>
将上面的代码复制到需要屏蔽页面<head>里面加载。3 v& L0 z3 Q& N
制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。; q" c S0 y: t% P9 ?6 c( B$ b" a
原理:, U! g8 s0 }. a! N6 q9 p1 K
第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。
" Y5 O1 Y, M+ p# }# Z; o第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。9 {' f' ]5 }7 @3 R. V% x/ ?
目前测试这种方法没什么问题。3 E: d; O( p% B, T
/ O1 e% T8 Z. q$ @& J E' k
|
|
发表于 2020-11-16 17:30:36
千斤顶
显身卡
鲁公网安备 37021102000261号