|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。
1 t# N! E" h# C1 S1 C' }8 Q这次讲一下如何防止自己的网页被别人iframe。
( r3 F) P" L+ ~) x1 p9 |. L7 V6 s" E( M0 |% K0 w& [: l
1、这些方法都可行,但不是太可靠。
& }5 ?5 [1 e( ]9 Q0 Z* x- <script language="javascript">1 c9 n* c; h5 t, P+ b0 G l
- if( top.location != self.location) top.location.href=self.location.href;" _4 c# m0 k' V8 k
- </script>
- <script language="javascript">
+ i6 W$ R3 D7 W; d - if (top.location != location) top.location.href = location.href;3 w! r7 H; Q: G& r$ Z
- </script>
- <script language="javascript">$ R5 b* F* W; {: O
- if (top.location != self.location) {top.location=self.location;}
0 u; L0 i, ]1 \- L - </script>
- <script language="javascript"> J8 y" U9 s# Z
- if (top.frames.length!=0) top.location=self.document.location;
- z( J/ X$ s) ^* R/ |% m- O - </script>
当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。# }9 t8 @0 ` d+ N# D: g
- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
) w$ j( e& _. @1 P - <script language="javascript"> " { Y. G: c4 A; P7 [$ m
- var location="";3 n. i' h- B# W$ D$ v
- var navigate="";
0 g \) y& l! `, a5 @ - frames[0].location.href="";/ s( C6 i$ I6 C2 k: L
- </script>
; l1 B0 m; y9 O3 e; I- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
! h- m1 S+ a0 q1 R% p' V, d- W4 ~& B$ c: H
- <script type="text/javascript" charset="utf-8">2 z) ]; G6 @. l
- document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');" w, t6 g. ~" I; i
- </script>
Meta标签方法' {. W. F3 m- f+ i) s
- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
- <?php header('X-Frame-Options:Deny'); ?>
- Header always append X-Frame-Options SAMEORIGIN
- add_header X-Frame-Options "SAMEORIGIN";
.htaccess方法
' G8 L/ C$ j+ N' J在网站根目录下的.htaccess文件中中加一句
7 h: J! j$ q! M& x0 C) F; E- Header append X-FRAME-OPTIONS "SAMEORIGIN"
9 @% J% X$ Z) f. M' dIIS方法
) c4 m4 ]# m! d5 O& m在web.config文件中加- <system.webServer>8 l: q. J, p0 f3 y d
- ...
1 N. r7 X% I0 w - <httpProtocol>0 _: q$ l' W' a
- <customHeaders>
+ T1 s, n. M) X5 b - <add name="X-Frame-Options" value="SAMEORIGIN" /> 1 c0 N6 b9 u* i4 M( A% f2 @+ I6 o
- </customHeaders> 9 M& F7 a1 D3 o/ r1 N' n
- </httpProtocol>
% _0 w7 D' U9 m - ...9 S7 Z7 K! @, @: B G% J
- </system.webServer>
之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。
- \' U; y s, {5 S; p) |4 p$ O1 U$ i) A: t- A7 m: {% ~
3、推荐解决方法。5 d) u0 G( C* n* B/ O" @
- <script language="javascript"> . @: n$ S! n' A3 |% ^: L1 G, g
- if(top != self){& W7 R I/ o# }% ]' B
- location.href = "http://xp6.org/iframe.html";
% ^1 S+ E1 m# Z1 d) Q" N - top.location.href=self.location.href;3 k; o) J. K. U5 ?8 H* g7 E
- }
9 _7 d0 d) C- Z* K8 q) `6 z - </script>
将上面的代码复制到需要屏蔽页面<head>里面加载。4 n+ g+ P0 F* p: X) e
制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
6 m" u; E; b( H3 e# s原理:. [1 D# c$ O0 o& Z9 o! Y
第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。: g! l: w5 A9 x- Z+ K6 r$ n" ^- q
第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。
D4 ? O5 p" _7 x5 g- C目前测试这种方法没什么问题。
1 u* ^8 E" M4 O5 X N- V4 e( h
/ G9 B9 c, p- c# E- ?1 ] |
|
发表于 2020-11-16 17:30:36
千斤顶
显身卡
鲁公网安备 37021102000261号