iframe禁止跨域嵌套的方法
腾讯QQ空间防嵌套方法
<scripttype="text/javascript">document.domain="qq.com";var_s_=newDate(),g_T={},siDomain="ctc.qzonestyle.gtimg.cn",g_iUin=499469859,g_iLoginUin=499469859;g_T.fwp=[_s_];document.namespaces&&document.namespaces.add&&(document.namespaces.add('qz','http://qzone.qq.com/'),document.namespaces.add('x','http://qzone.qq.com/'));varQZFL={};QZFL.event={};QZFL.event.getEvent=function(evt){varevt=window.event||evt,c,cnt;if(!evt&&window.Event){c=arguments.callee;cnt=0;while(c){if((evt=c.arguments[0])&&typeof(evt.srcElement)!="undefined"){break;}elseif(cnt>9){break;}c=c.caller;++cnt;}}returnevt;};QZFL.event.getTarget=function(evt){vare=QZFL.event.getEvent(evt);if(e){returne.srcElement||e.target;}else{returnnull;}};varQZFF_M_img_ribr=[];QZFL.media={reduceImgByRule:function(ew,eh,opts,cb){QZFF_M_img_ribr.push(QZFL.event.getTarget());},adjustImageSize:function(w,h,trueSrc,cb,errCallback){QZFF_M_img_ribr.push(QZFL.event.getTarget());},reduceImage:function(){QZFF_M_img_ribr.push(QZFL.event.getTarget());},getImageInfo:function(){QZFF_M_img_ribr.push(QZFL.event.getTarget());}};g_T.fwp[1]=newDate();</script>淘宝防嵌套方法
if(window.top!==window.self){window.top.location=window.location;}四种防iframe方法
第一种要说的就是淘宝使用的办法
解决方案一:JS方法
<scripttype="text/javascript">if(self!=top){top.location=self.location;}</script>if(self==top){vartheBody=document.getElementsByTagName('body')[0];theBody.style.display="block";}else{top.location=self.location;}把上面的js代码片段放到你页面的 head 中即可。
要特别说明下这种方法不是很靠谱,可以很轻松使这种方法失效。
只需要添加下面代码使JS代码失效,这种方法就没用了。
<scripttype="text/javascript"charset="utf-8">document.write('<iframeseamlesssandboxsecurity="restricted"id="url_mainframe"frameborder="0"scrolling="yes"name="main"src="http://www.baidu.com"style="height:100%;visibility:inherit;width:100%;z-index:1;overflow:visible;"></iframe>');//把里面的http://www.baidu.com换成要嵌套的网址解决方案二:Meta标签方法
在需要禁用iframe嵌套的网页head中添加下面代码
<metahttp-equiv="X-FRAME-OPTIONS"content="DENY">
以上两种为前端处理方法,就我个人来说不推荐使用,不过这个也是因人而异的,没有绝对的好与差。
解决方案三:PHP方法
<?phpheader('X-Frame-Options:Deny');?>在需要禁用iframe嵌套的PHP网页中添加上面代码
上面这种是后端程序处理方法。
解决方案四:Apache主机方法
配置 Apache 在所有页面上发送 X-Frame-Options 响应头,需要把下面这行添加到 'site' 的配置中:
HeaderalwaysappendX-Frame-OptionsSAMEORIGIN
解决方案五:Nginx主机方法
配置 nginx 发送 X-Frame-Options 响应头
把下面这行添加到 'http', 'server' 或者 'location' 的配置中:
add_headerX-Frame-Options"SAMEORIGIN";
配置 IIS 发送 X-Frame-Options 响应头
添加下面的配置到 Web.config 文件中:
<system.webServer>...<httpProtocol><customHeaders><addname="X-Frame-Options"value="SAMEORIGIN"/></customHeaders></httpProtocol>...</system.webServer>
解决方案六:.htaccess方法
在网站根目录下的.htaccess文件中中加一句
HeaderappendX-FRAME-OPTIONS"SAMEORIGIN"
以上几种解决方案为服务器端解决方案。
关于X-Frame-Options
以上大部分关于禁止iframe框架被跨域嵌套的方法中使用到X-Frame-Options,在此特别介绍一下:
X-Frame-Options 有三个值:DENY、SAMEORIGIN、ALLOW-FROM uri
DENY
表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
SAMEORIGIN
表示该页面可以在相同域名页面的 frame 中展示。
ALLOW-FROM uri
表示该页面可以在指定来源的 frame 中展示。
