您的位置: 首页  >  技术问答  >  停止其他网站iframing?

停止其他网站iframing?

分类: 技术问答 2022-09-24 18:16:05
问题描述:

我们运行在线服务(又名脚本),并在过去几周内发现了几个网站,通过iframe将脚本放在他们的网站上。停止其他网站iframing?

我们可以采取哪些预防措施来阻止其他人通过iframe将我们的网站放入他们的网站?

谢谢。

+0

如果您的“脚本”在他们的网站上,这有什么关系吗?你的服务没有你的网站名称吗? – Eric

+0

它的确如此,但是当他们使用CSS来隐藏除输入框之外的所有网站时,它会让我们感到困扰。 – Latox

+0

等等,他们使用CSS来隐藏输入框?这听起来像是一个UI纠正攻击。 – damianb

在现代浏览器上,发送标题X-Frame-Options的值为DENY。如果它是最新的浏览器,它会服从标题并告诉iframe包装沙子。

+1

也有相同的出处选项,所以至少你自己的网站可以iframe自己的内容,如果它想。 – Zimzat

+0

@Zimzat - 除非明确需要,否则不应使用同源 - 您永远不知道攻击者是否设法将恶意内容插入服务器。 – damianb

更具全球性的解决办法是这样的:

<script type="text/javascript"> 

    if (top.location != location) { 
     top.location.href = document.location.href ; 
    } 
</script>

把它放在你的页面的顶部(“头”标签内)。

+1

请参阅:http://stackoverflow.com/questions/958997/frame-buster-buster-buster-code-needed – Zimzat

相关推荐