php嵌套 frame,终极解决禁止网站被别人通过iframe引用嵌套套入。

最新推荐文章于 2023-08-03 18:40:39 发布
最新推荐文章于 2023-08-03 18:40:39 发布
阅读量900 收藏 1
点赞数
文章标签: php嵌套 frame

今天介绍四种防iframe的方法。

方法一:JavaScript

JavaScript

if(self != top) { top.location = self.location; }

1

2

3

if(self!=top){top.location=self.location;}

JavaScript

if (self == top) {

var theBody = document.getElementsByTagName('body')[0];

theBody.style.display = "block";

} else {

top.location = self.location;

}

1

2

3

4

5

6if(self==top){

vartheBody=document.getElementsByTagName('body')[0];

theBody.style.display="block";

}else{

top.location=self.location;

}

上面两段代码都是可以的,原理就是先判断网站是否被嵌套。如果被嵌套,则将浏览器重定向到被嵌套的网站。

把上面的JavaScript代码片段放到你页面的 head 中即可。

要特别说明下这种方法不是很靠谱,可以很轻松使这种方法失效。只需要添加下面代码使JavaScript代码失效,这种方法就没用了。

JavaScript

document.write('');

//把里面的https://ihongchao.com换成要嵌套的网址

1

2

3

document.write('');

//把里面的https://ihongchao.com换成要嵌套的网址

在介绍第二种方法之前,先介绍一下网站的“X-FRAME-OPTIONS”属性,看名字就能知道,该属性是嵌套选项。分别有三种选择:

DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。

SAMEORIGIN:表示该页面可以在相同域名页面的 frame 中展示。

ALLOW-FROM uri:表示该页面可以在指定来源的 frame 中展示。

1

2

3DENY:表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。

SAMEORIGIN:表示该页面可以在相同域名页面的frame中展示。

ALLOW-FROMuri:表示该页面可以在指定来源的frame中展示。

方法二:meta标签

在需要禁用iframe嵌套的网页head中添加下面代码

XHTML

1

以上两种为前端处理方法,就我个人来说不推荐使用,不过这个也是因人而异的,没有绝对的好与差。

方法三:编程语言

以PHP为例,在PHP代码中添加如下代码,即可防止网站被iframe嵌套。

PHP

1<?phpheader (‘X-Frame-Options:Deny');?>

方法四:服务器配置

下面分别说明Apache、NGINX和IIS中如何配置,来防止网站被嵌套。原理与方法三相同,即发送消息头告知浏览器本网站不想被嵌套。

首先是Apache。在Apache的配置文件的“site”中添加如下配置,即可。

Header always append X-Frame-Options SAMEORIGIN

1HeaderalwaysappendX-Frame-OptionsSAMEORIGIN

虚拟机由于无法修改配置文件,可以将如下代码加入网站根目录的“.htaccess”文件中,效果相同。

Header append X-FRAME-OPTIONS "SAMEORIGIN"

1HeaderappendX-FRAME-OPTIONS"SAMEORIGIN"

目前势头正旺的NGINX可以在配置文件的http、server或者location中加入如下代码,来防止被嵌套。

add_header X-Frame-Options "SAMEORIGIN";

1add_headerX-Frame-Options"SAMEORIGIN";

在IIS中,可以将网站根目录的web.config配置文件做如下修改,来禁止网站被嵌套。

XHTML

...

...

1

2

3

4

5

6

7

8

9

...

...

如此这般之后,你的网站就不会被第三方网站嵌套了。

weixin_39554290
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
同源策略及其绕过详解
yufumusui的博客
12-06 5168
同源策略及其绕过详解 前言 最近在看吴翰清写的 白帽子讲 web安全 一书,遇到同源策略一词,我便开始深入学习相关内容,查阅了许多资料后,写该博客梳理、记录所学知识 基础知识 Origin(源) Origin: < scheme > “????/” <host> [ “:” < port > ],origin由用于访问它的URL的scheme(协议)、port(端口)、host(IP或域名)定义 scheme:请求所使用的协议,通常是HTTP协议或者它的安
禁止网站iframe嵌套解决方法
不怕麻烦的鹿丸的博客
12-19 8954
有时候我们开发的网站可能会被别人利用嵌入到其他网站中,也就是别人镜像我们的网站,造成点击劫持风险。
解决iframe嵌套第三方网址不能访问
热门推荐
Davi的博客
05-11 2万+
X-Frame-Options 是一个 HTTP 响应头部,用于防止网站被嵌入到其他网站iframe 中。该协议定义了一些选项,使网站可以控制在哪些网站中可以嵌入自己的内容,从而防止网站被点击劫持攻击。如果网站设置了 X-Frame-Options 响应头部,浏览器会根据该选项来决定是否允许在 iframe 中显示该网站的内容。并隐藏来自该网站的两个响应头:“Content-Security-Policy” 和 “X-Frame-Options”。2.SAMEORIGIN:只允许同源网站嵌入。
前端实现绕过源服务器限制嵌入iframe解决图片防盗链
最新发布
qq_44910894的博客
08-03 1413
在使用iframe时出现Refused to frame xxxxxxxx because an ancestor violates the following Contentt Security Policy directive: "frame-ancestors" self的解决方法和图片防盗链的绕过方法
禁止网站被别人通过 iframe 引用
grootbaby
03-31 911
禁止网站被别人通过 iframe 引用的七种方案
关于解决iframe标签嵌套问题的解决方法
11-21
问题描述 当我们使用easyui做后台管理系统的时候,会使用tree组件来实现树形菜单,而我们每点击一次相应菜单,会根据是否有url来判断是否是一级菜单,以及是否...如果为否,我们就会嵌套一个iframe标签来打开一个相应的
js如何判断是否在iframe中及防止网页被别站用iframe嵌套
01-19
1. js如何判断是否在iframe中 Js代码 //方式一 if (self.frameElement && self.frameElement.tagName == IFRAME) { ...2. 防止网页被别站用 iframe嵌套 将下面的代码加到您的页面 <head></head> 位置
在vue中实现嵌套页面(iframe)
11-19
vue中嵌套iframe,将要嵌套的文件放在static下面。src可以使用相对路径,也可使用服务器根路径http:localhost:8088/… <iframe src=”../../static/plusPro.html” width=”1200″ height=”300″ frameborder=”...
Python爬虫之Selenium中frame/iframe表单嵌套页面
01-19
在Web应用中经常会遇到frame/iframe表单嵌套页面的应用,WebDriver只能在一个页面上对元素识别与定位,对于frame/iframe表单内嵌页面上的元素无法直接定位。这时就需要通过switch_to.frame()方法将当前定位的主体...
iframe 多层嵌套 无限嵌套 高度自适应的解决方案
09-28
总结,通过上述方案,我们可以实现`iframe`的多层嵌套并保持高度自适应,从而提供良好的用户体验,避免了由于内容溢出导致的滚动条问题。在实际项目中,根据实际需求对代码进行调整,可以解决复杂的`iframe`布局问题...
抵御iframe弹出恶意广告
mush_me的专栏
09-22 753
抵御iframe弹出恶意广告 网页被运营商劫持后,总会弹出iframe的广告。 使用以下代码,能防止网页被iframe [code="java"] if(top!=self){ top.location=self.location; } [/code] 另付上工信部投诉地址:http://www.chinatcc.gov.cn:808...
解决iframe嵌套第三方网页,导致鉴权失败无法登录的问题
老衲的少女心i~
05-23 1万+
目录前言一、iframe是什么?二、401 (Unauthorized)三、解决总结 前言 最近遇到的一个问题,老项目的第三方以iframe嵌入的网页,无法正常登录了。 定位问题,发现: 控制台报错401 (Unauthorized),导致的无法正常登录。是因为我们iframe的问题,产生了跨域,导致我们的cookie无法共享。 提示:以下是本篇文章正文内容,下面案例可供参考 一、iframe是什么? HTML 内联框架元素 (< iframe >) 表示嵌套的browsing contex
php使用iframe框架,PHP+iframe图片上传实现即时刷新效果
weixin_35924719的博客
03-10 240
这几天在做一个图片上传功能,原本想用ajax上传图片实现即时刷新,可是一直实现不了,唉。后来用了iframe框架来实现了,不过这个用这框架却存在一个问题,当我吧图片上传以后我要把上传的路径返回到这框架中,那么怎么取出来,开始我把值直接输出到iframe中,但是我去取出路径的时候一直没反应,一直在网上查看资料,但是各种版本就是没有一个全面的讲解怎么使用iframe上传图片然后实现实时刷新的功能,只能...
iframe解决图片防盗链,并解决iframe对事件的拦截
柴钰棋的博客
07-03 1887
iframe解决图片防盗链,并解决iframe对事件的拦截图片资源因防盗链而无法加载。思路:用iframe加载一个页面,该页面空referrer请求资源。 图片资源因防盗链而无法加载。 我在引用外部图片资源时,提示403。很显然对referrer进行了过滤。浏览器新窗口试一下,发现可以打开,说明空referrer可以解决这个问题。 在head标签加上<meta name="referrer" content="never">就可以打开了。 但是这样有个问题,不仅请求资源不带referrer,打开
phpframeset,Frameset使用教程
weixin_28224217的博客
03-10 398
意思是:浏览器窗口等分为四部分。二、frame1. 属性①name设置框架名称。此为必须设置的属性。②src设置此框架要显示的网页名称或路径。此为必须设置的属性。③scrolling设置是否要显示滚动条。设定值为auto, yes, no。④bordercolor设置框架的边框颜色。⑤frameborder设置是否显示框架边框。设定值只有0、1;0 表示不要边框,1 表示要显示边框。⑥noresi...
iframe嵌套其他网站提示连接被拒绝
我的博客
06-08 9238
最近开发项目中遇到了iframe嵌套页面,遇到了域名提示…拒绝了您的访问。报错:Refused to display ‘http://xxxxxxx/’ in a frame because it set ‘X-Frame-Options’ to ‘deny’.X-Frame-Options: HTTP 响应头是用来给浏览器 指示允许一个页面 可否在或者中展现的标记。站点可以通过确保网站没有被嵌入到别人的站点里面,从而避免 点击劫持 攻击。
html网页防止跳过登录页面,如何让某个域的网站嵌套另一个域的网页,并跳过登录步骤?...
weixin_34121505的博客
06-17 1455
有2个独立的网站网站A,网站B。网站A想通过iframe嵌套网站B,网站B有登录机制,希望在网站A直接访问网站B,跳过登录步骤,请问网站B改怎么拓展才能支持?当前网站B的后台是用koa搭建的,在路由处通过判断ctx是否有session数据,如果没有则重定向,有则next();大致实现如此:app.use(async (ctx, next) => {/* 目前需求希望能支持被 xxx.com...
self!=top
u014704496的专栏
09-02 2017
if(self!=top){        top.location=self.location;    } //意思是本网页不允许被框架。目的是防止你的网页被引用在别人的页面中! 楼上说的对,top指向最顶层框架的window对象,self指向当前框架的window对象。如果网页中没有iframe,则top和self是同一个值,所以这段代码可以防止自己的网页被别人用ifram
iframe 嵌套非同源网站blocked a frame with origin '' from accessing a cross-origin frame
05-09
这个错误是因为浏览器有同源策略,不允许跨域访问。在使用 iframe 嵌套非同源网站时,如果父页面和子页面的域名不同,就会触发这个错误。 解决这个问题有两种方法: 1. 修改服务器端设置,允许跨域访问。可以在响应头中添加 Access-Control-Allow-Origin 头信息,来指定允许访问的域名。 2. 使用代理,将请求转发到同源的服务器上,再返回结果。这样就能避免跨域问题。 无论采用哪种方法,都需要注意安全性问题,避免出现安全漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值