如何防止我的网站页面通过 iFrame 的第三方网站框架加载

问题描述：

如何在页面加载期间发现我的页面已作为框架嵌入到其他网站？我猜 referrer 请求标头在这里帮不上忙？谢谢。

解决方案 1：

您无法从服务器端检查它，但您可以在页面加载后使用 javascript 来检测它。比较top和self，如果它们不相同，则您处于框架中。

此外，一些现代浏览器尊重X-FRAME-OPTIONS标头，该标头可以具有两个值：

• DENY – 如果页面包含在框架中，则阻止呈现该页面

• SAMEORIGIN – 与上述相同，除非该页面与顶级框架集持有者属于同一个域。

用户包括 Google 的 Picasa，它不能嵌入框架中。

支持该标头的浏览器，最低版本为：

• IE8 和 IE9

• Opera 10.50

• Safari 4

• Chrome 4.1.249.1042

• Firefox 3.6.9（旧版本，不含NoScript）

解决方案 2：

Stackoverflow 包含一些 JS 来测试它（master.js）。这是其中的相关部分：

if(top!=self){
    top.location.replace(document.location);
    alert("For security reasons, framing is not allowed; click OK to remove the frames.")
}

但请记住，JS 可以被禁用。

解决方案 3：

对于现代浏览器，您可以使用 CSP（内容安全策略），这是一个标准。以下标头将阻止文档在任何地方的框架中加载：

Content-Security-Policy: frame-ancestors 'none'

（不过 IE 11 需要X-前缀）。您还可以更改'none'为允许框架的来源，例如您自己的网站。

为了覆盖旧版浏览器，最好与@Maerlyn 的答案一起使用。

解决方案 4：

你可以使用 javascript 阻止在 iframe 中加载页面

<script type="text/javascript">
if ( window.self !== window.top ) {
    window.top.location.href=window.location.href;
}
</script>

此代码将您页面的 iframe 容器的地址更改为您的页面地址，并强制容器显示您的页面。

解决方案 5：

或者，如果您不介意您的内容出现在某些位置，但不想出现在某个网站上，您可以屏蔽特定域。例如，如果offendingdomain.com您嵌入了您的内容，您可以这样做：

<script type="text/javascript">
    if(document.referrer.indexOf("offendingdomain.com") != -1) {
        window.location = "http://www.youtube.com/watch_popup?v=oHg5SJYRHA0";
    }
</script>

这将检查父文档的位置，看看它是否offendingdomain.com嵌入了您的内容。然后，此脚本会将该 iframe 发送到某个著名的 YouTube 视频作为惩罚。实际上，他们只是自取其辱。

解决方案 6：

使用 javascript 检查它是否在 iframe 上加载，方法是将以下脚本放在 php 文件的末尾，然后重定向到显示警告的页面或通知您的页面不应使用 iframe 加载。

<script type="text/javascript">
if(top.location != window.location) {
    window.location = '/error_iframe.php';
}
</script>

解决方案 7：

<?php
    header("Content-Security-Policy: frame-ancestors 'none'");
?> 

解决方案 8：

将 hosname 替换为域名

if (window.top.location.host != "hostname") {
    document.body.innerHTML = "Access Denied";
}

解决方案 9：

我在标题顶部使用这个 PHP 代码

if($_SERVER['SERVER_NAME'] != 'yourwebsite.com'){
   header('location: yourwebsite.com');
}

如果有人对您的网站进行了 iframe，它将重定向到您的网站