|
|
前面说了如何阻止 iframe里引用的网页自动跳转,已达到iframe页面的目的。
% Q6 u* w8 ?8 b! U5 T. h7 @这次讲一下如何防止自己的网页被别人iframe。* h0 Z3 ]: H5 I3 ^3 n0 z
6 X# Z. k' q$ I; g& ~: V
1、这些方法都可行,但不是太可靠。
! B) e! U5 U9 b- S' f- <script language="javascript">, n9 v1 h7 v4 B# H& N5 T
- if( top.location != self.location) top.location.href=self.location.href;; a, S. C& ~: d% ^1 T
- </script>
8 A8 _- C! Y2 _2 G- <script language="javascript"> o1 |- T: a4 ]6 o; u; B4 N
- if (top.location != location) top.location.href = location.href;
% R: ?5 r- n) x0 K9 e - </script>
# z5 F2 [1 \. I% X# I, F! b- C- <script language="javascript">+ K$ X( H! u; y: j+ P$ j M
- if (top.location != self.location) {top.location=self.location;}$ W* Q5 Y* j" ~/ C
- </script>
- <script language="javascript">
6 [) a1 V2 W3 k/ j a6 Q - if (top.frames.length!=0) top.location=self.document.location;
, Q- r R9 Q% h5 V, u6 @9 b9 c - </script>
当别人用如下类似代码做IFRAME嵌套调用时,就可能躲过你的页面的javascript代码。7 m, J. a9 y3 x. A
- <iframe src="http://xp6.org/" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385></iframe>
* X! ?; m( O) Y5 p - <script language="javascript"> ; i( e4 @/ \ H% I
- var location="";+ e9 h$ |& V8 O6 G* ~* @
- var navigate="";
( z# s* v/ l5 {% v/ p) N3 F9 \ - frames[0].location.href="";
5 z9 p9 l4 w# N- A/ b/ N4 s - </script>
% l2 j, j2 i, x; D i* f- <iframe src="http://xp6.org/" class="t-iframe" scrolling="no" security="restricted" sandbox="">
) b2 j, r) \$ a8 J' h) O- J- <script type="text/javascript" charset="utf-8">% H" m1 @. K7 X- m6 V3 G. V
- document.write('<iframe seamless sandbox security="restricted" id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="http://xp6.org/" style="height:100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>');
7 N5 G* `6 a" p" I$ l - </script>
: L) D! w8 ?: OMeta标签方法
) o1 _- c5 v3 r! u x) y- <meta http-equiv="X-FRAME-OPTIONS" content="DENY">
) K! y7 z9 p- ~6 ^5 i$ D' | {& t- u- <?php header('X-Frame-Options:Deny'); ?>
- Header always append X-Frame-Options SAMEORIGIN
- }% M' Q" ^" Z- `- add_header X-Frame-Options "SAMEORIGIN";
.htaccess方法
' h) @# V$ E6 m& r0 c! ^, w在网站根目录下的.htaccess文件中中加一句' ?. _% Z+ y% d! _0 m
- Header append X-FRAME-OPTIONS "SAMEORIGIN"
IIS方法1 i3 n$ A' G5 U1 s3 b
在web.config文件中加- <system.webServer>) p; L8 j, p6 K* z+ |4 {( Q5 a0 u% D
- ...' l, t3 U, \1 ]
- <httpProtocol>/ d; k6 @4 p& T4 y' L5 G) |
- <customHeaders>
4 X8 b- o( f [% l( Z - <add name="X-Frame-Options" value="SAMEORIGIN" /> 0 M: n/ ]% b$ N5 T7 c0 _
- </customHeaders>
5 ^" S. X) h: M4 s( x* t2 p - </httpProtocol> / g* D4 e" r% d0 z' a
- ...: s5 [5 R" \* ]5 k3 ]6 M
- </system.webServer>
之所以说不人性化,是因为这样操作之后,别人iframe会显示服务器拒绝之类的信息,虽然是屏蔽了,但是自己网站也不能宣传了。
1 c+ A4 V, j9 t$ n* }- Z( k, r8 x$ t3 U5 n+ G% g, T
3、推荐解决方法。1 ~2 v9 t3 v3 w. d7 j8 x
- <script language="javascript"> . W* b) u' p5 M; ~1 ~6 [
- if(top != self){9 f' L4 s# f* T/ j. _
- location.href = "http://xp6.org/iframe.html"; 1 h# O& b& D- `. ~. Y* s! s4 _
- top.location.href=self.location.href;
0 O+ m, J9 u0 o' c: [4 Y, u& B5 |7 m3 U - }
3 l5 x& k& S- ]" c4 L3 i1 w7 U8 b - </script>
6 d* i2 X2 x2 ?, o/ `& |) c- Q' r# j4 j# C将上面的代码复制到需要屏蔽页面<head>里面加载。& }8 }0 |$ \4 u$ q- j
制作一个iframe.html页面里面放张网站宣传图片,加个链接,放到网站根目录。
# `5 M* ~5 l" G, O原理:) v8 z6 o1 U, I/ Y( Y
第一步直接强制访问咱自己设定的iframe.html页面,如果网站禁用了JS跳转,那么执行到这一步就结束了,这样即使他们iframe了咱的网站,看到的只是咱的图片宣传页。4 E- ]+ N' q. k
第二步,如果没有禁用JS,那么会接着执行top.location.href=self.location.href; ,然后跳转到我们的网址页面。$ J8 n& y. L+ d# P, v! v7 @
目前测试这种方法没什么问题。% m* |1 ~4 V1 t7 i% M2 l
+ R8 @1 l" V4 ?
|
|
发表于 2020-11-16 17:30:36
千斤顶
显身卡
鲁公网安备 37021102000261号