是否可以阻止我们的网站在另一个域的框架集或 IFrame 内运行？

Question

最近我们遇到了一个问题，其他网站在一个框架集中运行我们的电子商务网站，而我们的网站（附加了违规者附属 ID）是单个全宽框架中的唯一内容。 所以本质上它看起来和感觉就像我们的网站，其 URL 位于顶部。 我们可以切断他们的会员 ID，这会让他们这样做毫无意义，但这并不能阻止未来的罪犯做同样的事情，直到我们发现为止。

是否有一种通用方法（通过可能出现在每个页面上的 JavaScript？）来防止这种情况发生？ 请注意，向所有链接添加目标是不可行的，但向所有页面添加一段 JS 是可行的，因为页眉和页脚部分是从单个源在整个站点范围内共享的。

另一种可能性是在 Apache 级别（如果我们可以在服务器端做任何事情），因为我们确实通过 mod-rewrite 传递所有请求。

请注意，如果父页面源自我们的域，则仍然必须允许页面在 IFrame 内加载，因为我们有效地使用了 IFrame

Answer 1

我听说这个问题的解决方案被称为“frame popper 脚本”。 谷歌很快就找到了此帖子。 看起来这是最简单的之一：

if (window != top) top.location.href = location.href; 

Answer 2

我相信实现这一点的正确现代方法是使用 X-框架选项响应标头。

来自 MDN：

X-Frame-Options HTTP 响应标头可用于指示是否允许浏览器在框架或 iframe 中呈现页面。 网站可以利用这一点来避免点击劫持攻击，确保其内容不会嵌入到其他网站中。

看一下：如何防止 IFRAME重定向顶级窗口

Answer 3

看看这篇文章。 它提供了一个相当简单的解决方案来检测帧并打破它们。

如何使用 JavaScript 打破框架

另外，我会更进一步。 每当您检测到框架时，请获取违规网站框架生成器的附属 ID，并使用 AJAX 将其连同它们正在使用的 URL 推送到服务器。 然后，您可以自动或手动验证他们是否正在构建您的网站，并一次取消一个联盟代码。

Answer 4

只是在这里猜测...但是如果您使用 javascript 调用父窗口来访问其文档对象怎么办？ 你可以检查它是否不为空，如果有一个父窗口（意味着一个框架加载了你的网站），你可以通过javascript隐藏所有的html...