如何防止IFRAME重定向顶级窗口

一些网站具有用于“破解” IFRAME附件的代码，这意味着，如果将页面A作为IFRAME父页面加载到内部，则P某些Javascript A会将外部窗口重定向到A。

通常，此Javascript如下所示：

<script type="text/javascript">
  if (top.location.href != self.location.href)
     top.location.href = self.location.href;
</script>

我的问题是：作为父页面P的作者而不是内部页面的作者A如何防止A这种突破？

PS在我看来，这应该是跨站点安全性违规，但事实并非如此。

尝试使用onbeforeunload属性，该属性将使用户选择是否要离开页面。

示例：https：//developer.mozilla.org/en-US/docs/Web/API/Window.onbeforeunload

在HTML5中，您可以使用沙盒属性。请参阅下面的Pankrat答案。 http://www.html5rocks.com/zh-CN/tutorials/security/sandboxed-iframes/

使用HTML5，添加了iframe沙箱属性。在撰写本文时，此功能可在Chrome，Safari，Firefox和IE和Opera的最新版本上使用，但几乎可以满足您的要求：

<iframe src="url" sandbox="allow-forms allow-scripts"></iframe>

如果要允许顶级重定向，请指定sandbox="allow-top-navigation"。

我使用沙盒=“ ...”

• allow-forms允许表单提交
• allow-popups允许弹出窗口
• allow-pointer-lock允许指针锁定
• allow-same-origin允许文档保持其原点
• allow-scripts允许JavaScript执行，还允许功能自动触发
• allow-top-navigation允许通过浏览顶层窗口使文档脱离框架

顶部导航是您要防止的，因此将其省略，将不会被允许。任何遗漏的东西都会被阻止

例如

        <iframe sandbox="allow-same-origin allow-scripts allow-popups allow-forms" src="http://www.example.com"</iframe>

阅读w3.org规范之后。我找到了沙箱属性。

您可以设置sandbox=""，以防止iframe重定向。话虽如此，它也不会重定向iframe。您将基本上失去点击。

此处的示例：http : //jsfiddle.net/ppkzS/1/
不带沙箱的示例：http : //jsfiddle.net/ppkzS/

我知道问题已经解决很久了，但是这是我的改进版本，只有在加载iframe时，它将等待500ms进行后续调用。

<script type="text/javasript">
var prevent_bust = false ;
    var from_loading_204 = false;
    var frame_loading = false;
    var prevent_bust_timer = 0;
    var  primer = true;
    window.onbeforeunload = function(event) {
        prevent_bust = !from_loading_204 && frame_loading;
        if(from_loading_204)from_loading_204 = false;
        if(prevent_bust){
            prevent_bust_timer=500;
        }
    }
    function frameLoad(){
        if(!primer){
            from_loading_204 = true;
            window.top.location = '/?204';
            prevent_bust = false;
            frame_loading = true;
            prevent_bust_timer=1000;
        }else{
            primer = false;
        }
    }
    setInterval(function() {  
        if (prevent_bust_timer>0) {  
            if(prevent_bust){
                from_loading_204 = true;
                window.top.location = '/?204';
                prevent_bust = false;
            }else if(prevent_bust_timer == 1){
                frame_loading = false;
                prevent_bust = false;
                from_loading_204 = false;
                prevent_bust_timer == 0;
            }



        }
        prevent_bust_timer--;
        if(prevent_bust_timer==-100) {
            prevent_bust_timer = 0;
        }
    }, 1);
</script>

和onload="frameLoad()"和 onreadystatechange="frameLoad();"必须被添加到该帧或iframe。

我发现了一些有用的技巧：

使用JS如何停止子Iframe重定向或至少提示用户有关重定向的信息

http://www.codinghorror.com/blog/2009/06/we-done-been-framed.html

http://coderrr.wordpress.com/2009/02/13/preventing-frame-busting-and-click-jacking-ui-redressing/

由于您在iframe中加载的页面可以使用setInterval执行“突破”代码，因此onbeforeunload可能不那么实际，因为它可能会向用户显示“您确定要离开吗？” 对话。

还有一个iframe安全属性，该属性仅适用于IE和Opera

:(

在我的情况下，我希望用户访问内部页面，以便服务器将其IP视为访问者。如果我使用php代理技术，我认为内页会将我的服务器IP视为访问者，因此效果不佳。到目前为止，我唯一的解决方案是onbeforeunload。把它放在你的页面上：

<script type="text/javascript">
    window.onbeforeunload = function () {                       
         return "This will end your session";
    }
</script>

这既在Firefox中工作，也就是我测试过的东西。您会发现使用evt.return（what）废话之类的版本...在Firefox中不起作用。

这样，您将能够控制框架页面的任何操作，而这是您无法控制的。相同域来源策略适用。