在上个月的某个时候,一个随机的网站决定在一个框架内服务我公司的网站。无视“他们在做什么?”的问题。一分钟,我使用了一些简单的frame-buster Javascript:
<script type="text/javascript">
if (top.location != location) {
top.location.href = document.location.href ;
}
</script>
那部分效果很好。问题是,并非所有框架都是坏的:如果有人通过ow.ly来到网站,我们不想破坏他们的框架。我已尝试了一些内容,要么将ow.ly列入白名单,要么将违规网站列入黑名单,但我无法绕过跨框架安全性足够长时间来搜索top.location。有什么我只能根据URL阻止一些帧吗?
为了澄清,我意识到我不太可能赢得破坏框架的军备竞赛。我很好。我要做的是建立一个允许在一个框架中显示我们网站的网站白名单。
答案 0 :(得分:3)
从后端获得一些帮助。您可以检查HTTP referer标头,然后相应地启用frame-buster。