如何在页面加载过程中发现我的页面作为框架嵌入到其他网站?我想推荐人请求标头在这里帮不了我?谢谢。
【问题讨论】:
标签: php python iframe http-headers frame
您无法从服务器端检查它,但您可以在页面加载后使用 javascript 检测它。比较top 和self,如果它们不相同,那么你就在一个框架中。
此外,一些现代浏览器尊重X-FRAME-OPTIONS 标头,它可以有两个值:
用户包括不能嵌入框架的 Google 的 Picasa。
支持标头的浏览器,最低版本:
【讨论】:
Stackoverflow 包含一些 JS 来测试它 (master.js)。这是它的相关部分:
if(top!=self){
top.location.replace(document.location);
alert("For security reasons, framing is not allowed; click OK to remove the frames.")
}
但请记住,可以禁用 JS。
【讨论】:
对于modern browsers,您可以使用标准的CSP(内容安全策略)。以下标头将阻止文档在任何地方加载到框架中:
Content-Security-Policy: frame-ancestors 'none'
(不过,IE 11 需要 X- 前缀)。您还可以将'none' 更改为允许框架的来源,例如您自己的网站。
为了覆盖旧版浏览器,最好与@Maerlyn's answer一起使用。
【讨论】:
您可以使用 javascript 阻止在 iframe 中加载您的页面
<script type="text/javascript">
if ( window.self !== window.top ) {
window.top.location.href=window.location.href;
}
</script>
此代码将您页面 iframe 的容器地址更改为您的页面地址并强制容器显示您的页面。
【讨论】:
sandbox iframe 上的属性允许禁止此类框架转义黑客攻击。因此,如果您担心安全问题,这种方式不是防止框架的安全方式。
或者,如果您不介意某些位置的内容,但又不想在某个网站上显示该内容,您也可以屏蔽某个特定域。例如,如果offendingdomain.com 嵌入了您的内容,您可以这样做:
<script type="text/javascript">
if(document.referrer.indexOf("offendingdomain.com") != -1) {
window.location = "http://www.youtube.com/watch_popup?v=oHg5SJYRHA0";
}
</script>
这将检查父文档的位置,看看是否是 offendingdomain.com 正在嵌入您的内容。然后,此脚本会将 iframe 发送到某个著名的 youtube 视频作为惩罚。实际上,他们只是 Rick-Rolled 自己。
【讨论】:
使用 javascript 检查是否已在 iframe 上加载,方法是将以下脚本放在 php 文件的末尾,然后重定向到显示警告或通知不应使用 iframe 加载页面的页面。
<script type="text/javascript">
if(top.location != window.location) {
window.location = '/error_iframe.php';
}
</script>
【讨论】:
<?php
header("Content-Security-Policy: frame-ancestors 'none'");
?>
【讨论】:
将 hosname 替换为域名
if (window.top.location.host != "hostname") {
document.body.innerHTML = "Access Denied";
}
【讨论】:
我在标题顶部使用此 PHP 代码
if($_SERVER['SERVER_NAME'] != 'yourwebsite.com'){
header('location: yourwebsite.com');
}
如果有人为您的网站添加了 iframe,它将重定向到您的网站
【讨论】: