本文概述
- 拒绝所有人从iframe进行访问
- 拒绝其他网站的访问
- 这种方法有多可靠
<
iframe width="1000px" height="700px" src="https://www.youtube.com" >
<
/iframe>
你会在控制台中找到错误消息:
错误:拒绝在框架中显示” https://www.youtube.com/” , 因为它将” X-Frame-Options” 设置为” SAMEORIGIN” 。
拒绝所有人从iframe进行访问以下标记将阻止网站独立于请求进行访问。
<
meta http-equiv="X-Frame-Options" content="deny">
拒绝值将导致该页面无法显示在框架中, 无论尝试这样做的站点(包括你的站点)如何。
拒绝其他网站的访问以下标记将阻止网站独立于请求进行访问。
<
meta http-equiv="X-Frame-Options" content="sameorigin">
sameorigin值将导致页面无法显示在你的其他域的框架中。你仍然可以将自己的页面嵌入自己网域中的iframe中。
这种方法有多可靠如果你真的对自己问(不阅读本段), 那么你提出了一个很好的问题, 确实X-Frame-Options对Clickjacking攻击很敏感。
点击劫持或点击劫持是一种恶意技术, 当他们单击看似无害的网站时, 它们会诱骗Internet用户泄露机密信息或控制你的计算机。你可以在此处阅读有关此技术的更多信息。
你可以增加对网站的保护, 而这并不意味着要在实施Framekiller的iframe中加载该网站。 Framekillers是使用JavaScript实施的, 该JavaScript会验证当前窗口是否是主窗口, 你可以在要阻止iframe的网页中使用以下以JS编写的代码段作为简单的Framekiller。
if (top.location != self.location) {top.location = self.location.href;
}
此解决方案有效, 但是仍然不可靠。以下情况可能会使上面的脚本无用:
- 用户代理不支持JavaScript。
- 用户代理支持JavaScript, 但是用户已关闭支持。
- 用户代理的JavaScript支持存在缺陷或部分实现。
【如何在iframe中拒绝你的网站对第三方网站的访问】玩得开心 !
推荐阅读
- 反混淆JavaScript代码并从脚本中检索源代码
- 使用javascript html5在画布上绘制点(圆)
- 如何使用Webpack从生产版本中删除console.log(或自定义调试功能)
- MPAndroidChart如何让y轴以非零值开始()
- Android Studio中单选按钮的onClick()的替代选项
- 无法使用数据绑定Android与ViewModel中的XML通信
- Android - MVVM中ViewModel状态的最佳实践()
- 通过mvvm android进行异常处理
- 在MVVM架构Android中启动服务的正确位置是什么