禁止网页被他人嵌套
摘要
网页被他人嵌套,可能会引发一些问题,
- 大量的403/404 访问问题,
- 可能会被木马网站劫持,
- 地址无法与内容一一对应。
方案一
前端检测 top 窗口是否就是 self ,
try{
top.location.hostname;
if (top.location.hostname != window.location.hostname) {
top.location.href =window.location.href;
}
}
catch(e){
top.location.href = window.location.href;
}
方案二
在后端项目的 .htaccess 文件中使用 X-Frame-Options 的 SAMEORIGIN 参数
<ifModule mod_headers.c>
Header always append X-Frame-Options SAMEORIGIN
</ifModule>
备注
X-Frame-Options 有三个选项:
DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
SAMEORIGIN:表示该页面可以在相同域名页面的 frame 中展示。
ALLOW-FROM uri:表示该页面可以在指定来源的 frame 中展示。
一般使用 SAMEORIGIN 允许同域嵌套。
具体配置可参考: https://www.cnblogs.com/jacko/p/6034112.html
总结
我一般会喜欢后端部署文件配置,非常简便,整站生效。
计划、执行、每天高效的活着学着