禁止网页被他人嵌套

摘要

网页被他人嵌套,可能会引发一些问题,

  1. 大量的403/404 访问问题,
  2. 可能会被木马网站劫持,
  3. 地址无法与内容一一对应。

方案一

前端检测 top 窗口是否就是 self ,

try{
  top.location.hostname;
  if (top.location.hostname != window.location.hostname) {
    top.location.href =window.location.href;
  }
}

catch(e){
  top.location.href = window.location.href;
}

方案二

在后端项目的 .htaccess 文件中使用 X-Frame-Options 的 SAMEORIGIN 参数

<ifModule mod_headers.c>
    Header always append X-Frame-Options SAMEORIGIN
</ifModule>

备注
X-Frame-Options 有三个选项:
DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
SAMEORIGIN:表示该页面可以在相同域名页面的 frame 中展示。
ALLOW-FROM uri:表示该页面可以在指定来源的 frame 中展示。

一般使用 SAMEORIGIN 允许同域嵌套。

具体配置可参考: https://www.cnblogs.com/jacko/p/6034112.html

总结

我一般会喜欢后端部署文件配置,非常简便,整站生效。

posted @ 2018-04-24 10:13  空城夕  阅读(704)  评论(0编辑  收藏  举报