我想要做的是动态 iframe 一些页面,所以当用户点击某个按钮时,某个页面(使用按钮动态生成的链接)会在 iframe 中打开。我想跳过那些不允许其内容被 iframed 的网址。
有什么方法可以检查一个 URL 是否限制自己被 iframed?
【问题讨论】:
X-Frame-Options 标头,因为无论如何现在每个人都使用它。
标签: javascript iframe
为 URL 发出 AJAX 请求,检查 x-frame-options 标头。如果是DENY 或SAMEORIGIN 则可能无法显示。
var xhr = $.get("http://somewhere.com");
xhr.always(function () {
var frameOption = xhr.getResponseHeader("x-frame-options");
if (frameOption == "DENY") {
// etc.
}
});
https://developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Options
正如 adeneo 指出的那样,对于许多具有跨域策略的站点来说,这可能会失败。最好的办法是在您自己的后端检查 URL。
向您的服务器添加一个路由,该路由接受一个 URL,获取它并检查它是否可以被框住。
【讨论】:
现在有可靠的方法可以确定 URL 不是 iframeable。
可以通过 Ajax 请求排除大多数这些 URL,并检查响应中的 X-Frame-Options 标头。 (无视“同源政策”)
其他网站使用脚本来检查它们是否是 iframe 的,这些网站只能通过在隐藏的 iframe 中“测试”网站并自己检查内容来排除这些网站,当然这只有在您知道预期内容的情况下才适用,或者至少是一些关键要素。
为防止加载的 iframe 重定向您自己的页面,您可以使用 IFrame-Sandbox 或交替检查 onbeforeunload
【讨论】:
我认为页面和 iframe 之间没有任何限制。我确实知道该页面可以通过 javascript 检查它是否在 iframe 内。
【讨论】:
X-Frame 标头或帧破坏,这不是很清楚,所以回答 “没有限制” 甚至没有接近答案?