转载:http://blog.csdn.net/uisoul/article/details/78124153
两年前,我写过一段代码,防止网页被嵌入框架(Frame)。
- 1
- 2
- 3
- 4
这段代码是有效的。但是,有一个问题:使用后,任何人都无法再把你的网页嵌入框架了,包括你自己在内。
于是,我今天就在考虑,有没有一种方法,使得我的网页只能被嵌入我自己的框架,而不是别人的框架?
表面上看,这个问题很简单。只要做一个判断:当前框架和顶层框架的域名是否相同,如果答案是否,就做了一个URL重定向。
- 1
- 2
- 3
但是,出乎意料的是,这样写是错误的,根本无法运行。你能看出,错在哪里吗?
假定 top.location.hostname 是 www.111.com,而 window.location.hostname 是 www.222.com。
也就是说,111.com把222.com嵌入了它的网页中。
这时,比较 top.location.hostname != window.location.hostname 会有什么结果? 浏览器会提示代码出错!
因为它们跨域(cross-domain)了,浏览器的安全政策不允许222.com的网页操作111.com的网页,反之亦然。
IE把这种错误叫做”没有权限”。进一步说,浏览器甚至不允许你查看top.location.hostname,跨域情况下,一看到这个对象,就直接报错。
那么,代码应该如何修改?
事实上,这提示我们,只要查看top.location.hostname是否报错就可以了。
如果报错了,表明存在跨域,就对top对象进行URL重导向;如果不报错,表明不存在跨域(或者未使用框架),就不采取操作。
- 1
- 2
- 3
- 4
- 5
- 6
这样写已经正确了,在IE和Firefox中可以正确运行。但是,Chrome浏览器会出现错误,不知为何,
在跨域情况下,Chrome对top.location.hostname不报错!没办法,只能为了Chrome,再加一段补充代码。
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
好了,升级版代码完成。除了本地域名以外,其他域名一律无法将你的网页嵌入框架。我的Blog现在就使用这段代码。
但所谓道高一尺魔高一丈,每种防范方法都有其对应的破解方法,比如我们可以使用类似下面代码可以强制嵌套使用了上面代码的iframe而不会自动跳转。
- 1
- 2
- 3
- 4
- 5
不过这个破解方法很烂,因为它会弹出一个对话框,只有用户选“留在本页”才可以,另外有了上面这代码不管用户刷新、点击链接、或者自动跳转都会弹出这个窗口,很烦人。但它至少提供了一种思路,世上没有无坚不摧的东西。