Cadre Buster Buster ... buster code nécessaire

Disons que vous ne voulez pas d'autres sites à "l'image" de votre site dans un <iframe>:

<iframe src="http://example.org"></iframe>

Si vous insérez anti-encadrement, cadre de contournement du code JavaScript dans vos pages:

/* break us out of any containing iframes */
if (top != self) { top.location.replace(self.location.href); }

Excellent! Maintenant, vous "buste" ou de sortir de tout contenant iframe automatiquement. Sauf pour un petit problème.

Comme il s'avère, votre cadre de contournement du code peut être éclaté, comme illustré ici:

<script type="text/javascript">
    var prevent_bust = 0  
    window.onbeforeunload = function() { prevent_bust++ }  
    setInterval(function() {  
      if (prevent_bust > 0) {  
        prevent_bust -= 2  
        window.top.location = 'http://example.org/page-which-responds-with-204'  
      }  
    }, 1)  
</script>

Ce code est le suivant:

  • incrémente un compteur à chaque fois que le navigateur tente de naviguer loin de la page en cours, via le window.onbeforeunload gestionnaire d'événement
  • met en place un timer qui déclenche à chaque milliseconde par setInterval(), et si elle voit le compteur incrémenté, les changements de la position actuelle à un serveur de l'attaquant contrôle
  • ce serveur sert une page avec le code d'état HTTP 204, qui ne provoque pas le navigateur pour naviguer n'importe où

Ma question est -- et ce n'est plus un JavaScript puzzle que d'une réelle problème - comment pouvez-vous vaincre le cadre de casse-buster?

J'ai eu quelques idées, mais rien n'a fonctionné lors de mes tests:

  • essayer de dégager le onbeforeunload événement via onbeforeunload = null a eu aucun effet
  • l'ajout d'un alert() arrêté le processus de laisser l'utilisateur de savoir ce qui se passait, mais ne pas interférer avec le code en aucune façon; en cliquant sur OK permet le contournement de continuer normalement
  • Je ne peux pas penser à une façon d'effacer le setInterval() minuterie

Je ne suis pas beaucoup de programmeurs JavaScript, voici donc mon défi pour vous: hey buster, pouvez-vous le buste le cadre de casse-buster?

Je ne suis pas sûr que le support-buster-buster fonctionne réellement...quand j'essaie de le tester (redirection vers un gestionnaire j'ai mis en place pour un retour 204), il m'empêche de naviguer n'importe où en dehors de la page--y compris la dactylographie de trucs dans la barre d'adresse! Je dois fermer l'onglet du navigateur et en ouvrir un nouveau pour obtenir n'importe où. Donc, en d'autres termes, je ne suis pas sûr que ce besoin d'une solution, parce que le frame-buster-buster vouloir être cassé est cassé...pour commencer. 🙂 (C'est ça ou j'ai foiré mon test, ce qui pourrait ne jamais arriver...) 😉
Matt, le bloc-buster-buster code affiché ci-dessus certainement fonctionne. Un.. euh.. ami.. de la mine.. dit moi .. à ce sujet. Ou quelque chose. 🙂
Jeff, êtes-vous tester avec windows sur le même domaine? On dirait que vous êtes, parce que si vous n'étiez pas à l'époque des restrictions de sécurité serait de vous empêcher de modifier 'onBeforeUnload'
Sur une note de côté: Lors de la publication des exemples, veuillez utiliser des domaines comme example.org comme spécifié dans la RFC 2606 ietf.org/rfc/rfc2606.txt
Concernant le thème général de la contre-contre-contre-mesures: galactanet.com/comic/view.php?strip=209

OriginalL'auteur Jeff Atwood | 2009-06-06

  1. 142

    Je ne sais pas si c'est viable ou pas - mais si vous ne pouvez pas casser l'image, pourquoi ne pas simplement afficher un avertissement. Par exemple, Si votre page n'est pas le "haut de page" créer une méthode setInterval qui tente de briser l'image. Si au bout de 3 ou 4 tente votre page n'est toujours pas le haut de la page créer un élément div qui couvre l'ensemble de la page (modal box) avec un message et un lien comme...

    Vous visualisez cette page non autorisée dans un cadre de fenêtre (bla Bla... problème de sécurité potentiel)

    cliquez sur ce lien pour résoudre ce problème

    Pas le meilleur, mais je ne vois pas de toute façon, ils pourraient script de leur moyen de sortir de cela.

    J'ai essayé et cela fonctionne. Un autre morceau que j'aime à propos de cette solution est qu'elle apporte de la lumière à l'utilisateur quel type de site, il/elle a été sur avant d'aller à votre contenu. Exemple de Code: if (parent.les cadres.length > 0) { top.emplacement.remplacer(document.emplacement); setTimeout(function() { if (parent.les cadres.length > 0) { document.emplacement = "google.com"; } }, 10); }
    Non seulement est-ce une bonne façon d'éviter les abus, il est assez convivial pour les sites qui veulent iframe votre site simplement pour prendre un coup d'oeil à elle, mais ne pas autoriser l'utilisation de il. Idéalement, je pense qu'une capture d'écran de la page d'accueil du site doit être utilisé, avec une explication de pourquoi il ne peut pas être utilisé dans l'iframe recouvert sur le dessus.
    C'est la façon dont Facebook fait.
    mais peut-être que cela pourrait être exploitée que si le contournement du site, à son tour, permettra de créer un faux anti anti anti ... (je ne sais pas combien anti nous sommes jusqu'à maintenant) lighbox div pour lui-même présentant un lien de phishing ou autre ... à confirmer
    Une autre idée serait de simplement wipeout la page complètement avec quelque chose comme document.write(""); (après avoir établi qu'il est en train d'être encadrée

    OriginalL'auteur Hugoware

  2. 202

    FWIW, la plupart des navigateurs actuels soutien la X-Frame-Options: refuser l' directive, qui fonctionne même lorsque le script est désactivé.

    IE8:

    http://blogs.msdn.com/ie/archive/2009/01/27/ie8-security-part-vii-clickjacking-defenses.aspx

    Firefox (3.6.9)

    https://bugzilla.mozilla.org/show_bug.cgi?id=475530

    https://developer.mozilla.org/en/The_X-FRAME-OPTIONS_response_header

    Chrome/Webkit

    http://blog.chromium.org/2010/01/security-in-depth-new-security-features.html

    http://trac.webkit.org/changeset/42333

    excellent, en soutenant ce dans le navigateur .exe est le chemin à parcourir sans doute. Quand vous dites "la plupart des navigateurs", ceux qui précisément? Je ne peux pas trouver de bonnes sources pour rien, mais IE8.
    Voici une page de test: enhanceie.com/test/clickjack. Chrome 4.1.249.1042 prend en charge. Opera 10.50 prend en charge. Firefox 3.6.2 ne prend PAS encore en charge. Safari 4.0.3 prend en charge.
    Firefox 3.6.9 le prend en charge en mode natif ( hackademix.net/2010/08/31/... ) et de tout installer Firefox avec NoScript a eu depuis le début de l'année 2009 ( hackademix.net/2009/01/29/x-frame-options-in-firefox )
    La devrait être le nouveau accepté de répondre.
    Il est préférable de le combiner avec le javascript framebuster.

    OriginalL'auteur EricLaw

  3. 33

    Nous avons utilisé l'approche suivante dans l'un de nos sites web à partir de http://seclab.stanford.edu/websec/framebusting/framebust.pdf

    <style>
 body { 
 display : none   
}
</style>
<script>
if(self == top) {
document.getElementsByTagName("body")[0].style.display = 'block';
}
else{
top.location = self.location;
}
</script>
    Bingo! Je ne sais pas pourquoi ce n'est pas upvoted plus depuis que c'est la meilleure réponse(à côté de la X-Frame-Options de réponse, mais il est préférable de combiner les deux)
    Cette réponse ou de la mine doit être sélectionné 🙂
    J'aime bien ton idée d'utiliser à la fois le présent et le X-Frame-Options:refuser de répondre.
    Cela nécessite de JS, ce qui est un assez gros fardeau à mon humble avis.
    +1 - C'est la meilleure réponse quand X-FRAME-OPTIONS ne peuvent pas être utilisés. (Par exemple, lorsque vous avez besoin pour conditionnellement autoriser ou refuser en fonction de référent.)

    OriginalL'auteur Dungeon Hunter

  4. 29

    Venu avec cela, et il semble que cela fonctionne au moins dans Firefox et le navigateur Opera.

    if(top != self) {
 top.onbeforeunload = function() {};
 top.location.replace(self.location.href);
}
    les deux Jani et Jeff solution (une fois édité) sont correctes et de travailler de manière équivalente; de donner Jani l'accepter parce que sa solution travaillé droit, sans aucune modification
    Cela ne fonctionne que si les deux fenêtres sont du même domaine; un événement rare, quand vous voulez échapper à partir d'une trame.
    Si il y a des structures imbriquées, vous aurez à marcher le cadre de la chaîne et de supprimer tous les onbeforeunload gestionnaires, et pas seulement l'une sur le dessus!
    précision importante: cela a fonctionné pour moi parce que l'iframe src= était définie de façon dynamique, et donc de la croix-domaine de la politique n'était PAS en vigueur. J-P est absolument droit, statique src= ceci ne fonctionnerait pas.
    ok, maintenant quelqu'un peut venir avec un cadre buster buster buster buster?

    OriginalL'auteur Jani Hartikainen

  5. 22

    Compte tenu de courant standard HTML5, qui a introduit sandbox pour l'iframe, tous les cadres casse les codes qui figurent dans cette page peuvent être désactivées lorsque l'attaquant utilise le bac à sable, car il limite l'iframe à partir des éléments suivants:

    allow-forms: Allow form submissions.
allow-popups: Allow opening popup windows.
allow-pointer-lock: Allow access to pointer movement and pointer lock.
allow-same-origin: Allow access to DOM objects when the iframe loaded form same origin
allow-scripts: Allow executing scripts inside iframe
allow-top-navigation: Allow navigation to top level window

    Voir: http://www.whatwg.org/specs/web-apps/current-work/multipage/the-iframe-element.html#attr-iframe-sandbox

    Maintenant, envisager l'attaquant a utilisé le code suivant pour héberger votre site en iframe:

    <iframe src="URI" sandbox></iframe>

    Ensuite, tous les JavaScript cadre de contournement du code de l'échec.

    Après vérification de tous les cadre du transport par autobus code, seulement ce moyen de défense fonctionne dans tous les cas:

    <style id="antiClickjack">body{display:none !important;}</style>
<script type="text/javascript">
   if (self === top) {
       var antiClickjack = document.getElementById("antiClickjack");
       antiClickjack.parentNode.removeChild(antiClickjack);
   } else {
       top.location = self.location;
   }
</script>

    que proposé à l'origine par Gustav Rydstedt Elie Bursztein, Dan Boneh, et Collin Jackson (2010)

    Merci, bac à sable fonctionne

    OriginalL'auteur

  6. 19

    Après méditer ce pour un peu de temps, je crois que ça va leur montrer qui est le patron...

    if(top != self) {
  window.open(location.href, '_top');
}

    À l'aide de _top que le paramètre cible pour window.open() lancera dans la même fenêtre.

    Je me demande comment cela va fonctionner sur des appareils mobiles.

    OriginalL'auteur Josh Stodola

  7. 6
    if (top != self) {
  top.location.replace(location);
  location.replace("about:blank"); //want me framed? no way!
}
    Ce travail? Il a été testé?

    OriginalL'auteur

  8. 5

    Ok, donc nous savons qui ont été dans un cadre. Nous avons donc l'emplacement.href vers une autre page spéciale avec le chemin d'accès comme une variable. Nous allons maintenant expliquer à l'utilisateur ce qui se passe et de fournir un lien avec un target="_TOP" option. C'est simple, et serait probablement travailler (n'ai pas testé), mais il nécessite une certaine interaction avec l'utilisateur. Peut-être que vous pourriez le site incriminé à l'utilisateur et de faire un hall of shame de cliquer sur jackers de votre site quelque part.. Juste une idée, mais il travail de nuit..

    OriginalL'auteur

  9. 5

    Toutes les solutions proposées directement forcer un changement dans l'emplacement de la fenêtre du haut. Si un utilisateur veut l'image d'être là? Par exemple, le haut cadre dans l'image des résultats de moteurs de recherche.

    J'ai écrit un prototype où, par défaut, toutes les entrées (des liens, des formes et des éléments d'entrée) sont désactivés et/ou de ne rien faire quand il est activé.

    Si un contenant de trame est détectée, les entrées sont laissé désactivé et un message d'avertissement est affiché en haut de la page. Le message d'avertissement contient un lien qui permet d'ouvrir une version safe de la page dans une nouvelle fenêtre. Cela empêche l'utilisation de la page pour le clickjacking, tout en permettant à l'utilisateur de visualiser le contenu dans d'autres situations.

    Si aucun contenant de l'image est détectée, les entrées sont activées.

    Voici le code. Vous devez définir le standard HTML attributs à des valeurs sûres et d'ajouter des attributs supplémentaires qui contiennent les valeurs réelles. C'est probablement incomplète et pour la pleine sécurité des attributs supplémentaires (je pense à propos de gestionnaires d'événements) devront probablement être traités de la même manière:

    <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<html>
<head>
<title></title>
<script><!--
function replaceAttributeValuesWithActualOnes( array, attributeName, actualValueAttributeName, additionalProcessor ) {
for ( var elementIndex = 0; elementIndex < array.length; elementIndex += 1 ) {
var element = array[ elementIndex ];
var actualValue = element.getAttribute( actualValueAttributeName );
if ( actualValue != null ) {
element[ attributeName ] = actualValue;
}
if ( additionalProcessor != null ) {
additionalProcessor( element );
}
}
}
function detectFraming() {
if ( top != self ) {
document.getElementById( "framingWarning" ).style.display = "block";
} else {
replaceAttributeValuesWithActualOnes( document.links, "href", "acme:href" );
replaceAttributeValuesWithActualOnes( document.forms, "action", "acme:action", function ( form ) {
replaceAttributeValuesWithActualOnes( form.elements, "disabled", "acme:disabled" );
});
}
}
//-->
</script>
</head>
<body onload="detectFraming()">
<div id="framingWarning" style="display: none; border-style: solid; border-width: 4px; border-color: #F00; padding: 6px; background-color: #FFF; color: #F00;">
<div>
<b>SECURITY WARNING</b>: Acme App is displayed inside another page.
To make sure your data is safe this page has been disabled.<br>
<a href="framing-detection.html" target="_blank" style="color: #090">Continue working safely in a new tab/window</a>
</div>
</div>
<p>
Content. <a href="#" acme:href="javascript:window.alert( 'Action performed' );">Do something</a>
</p>
<form name="acmeForm" action="#" acme:action="real-action.html">
<p>Name: <input type="text" name="name" value="" disabled="disabled" acme:disabled=""></p>
<p><input type="submit" name="save" value="Save" disabled="disabled" acme:disabled=""></p>
</form>
</body>
</html>
    Le problème, c'est l'image maker pourrait utiliser position:absolute pour placer les boutons sur le dessus de votre inactifs boutons et l'utilisateur n'aura qu'à voir votre page web et je pense qu'ils sont en cliquant sur des boutons.
    Le message d'avertissement serait encore montré, mais bien sûr, il est facile de couvrir le lien vers la page sécurisée comme vous le suggérez. Mais pourquoi passer par tous les ennuis de cadrage de ma page d'amener les gens à cliquer sur un familier bouton si vous pouvez simplement copier la page et obtenir le même effet? Le code ci-dessus empêche principalement de clickjacking. Si vous montrer ma page de manière invisible au-dessus de l'autre page, il n'est pas possible d'invoquer des actions sur mon site.
    Si celui-ci est placé dans une IE8 zone d'accès restreint du cadre ou de la sandbox de Chrome frame le Javascript ne sera jamais exécuté. Je me demande quelles sont les modifications nécessaires dans les cas

    OriginalL'auteur Johan Stuyts

  10. 5

    Je vais être courageux et de jeter mon chapeau dans l'anneau sur celui-ci (ancienne que c'est), voir combien de downvotes je peux recueillir.

    Ici est une tentative de ma part, ce qui ne semble pas fonctionner partout, je l'ai testé (Chrome20, IE8 et FF14):

    (function() {
if (top == self) {
return;
}
setInterval(function() {
top.location.replace(document.location);
setTimeout(function() {
var xhr = new XMLHttpRequest();
xhr.open(
'get',
'http://mysite.tld/page-that-takes-a-while-to-load',
false
);
xhr.send(null);
}, 0);
}, 1);
}());

    J'ai placé ce code dans les <head> et l'a appelé à partir de la fin de la <body> à faire en sorte que ma page est rendue avant qu'il ne commence à discuter avec le code malveillant, je ne sais pas si c'est la meilleure approche, YMMV.

    Comment ça fonctionne?

    ...Je vous entends demander - eh bien, la réponse honnête est, je n'ai pas vraiment savoir. Il a fallu beaucoup de fausser sur le point de le faire fonctionner partout, j'ai test, et l'effet exact qu'il a varie légèrement selon l'endroit où vous l'exécutez.

    Ici est la pensée derrière elle:

    • Définir une fonction à exécuter au plus bas possible de l'intervalle. Le concept de base derrière l'un des solutions réalistes que j'ai vu, c'est de remplir le planificateur avec plus d'événements que le cadre de l'buster-buster a.
    • Chaque fois que la fonction d'incendies, d'essayer et de changer l'emplacement de la partie supérieure du cadre. De façon assez évidente exigence.
    • Aussi programmer une fonction à exécuter immédiatement, ce qui va prendre du temps (ce qui bloque le cadre buster-buster de interférant avec le changement d'emplacement). J'ai choisi un synchrones XMLHttpRequest parce que c'est le seul moyen je pense, qui ne nécessite pas (ou tout au moins demander) l'interaction de l'utilisateur et de ne pas mâcher de la place de l'utilisateur le temps CPU.

    Pour mon http://mysite.tld/page-that-takes-a-while-to-load (la cible de la XHR), j'ai utilisé un script PHP qui ressemble à ceci:

    <?php sleep(5);

    Ce qui se passe?

    • Chrome et Firefox attendre les 5 secondes pendant que le XHR complète, puis réussir à rediriger vers l'encadré de la page URL.
    • IE redirige beaucoup

    Ne pouvez pas vous éviter les temps d'attente dans Chrome et Firefox?

    Apparemment pas. Au début, j'ai pointé le XHR à une URL qui retourne une erreur 404 - ce qui ne fonctionne pas dans Firefox. Ensuite, j'ai essayé la sleep(5); approche que j'ai finalement atterri sur cette réponse, puis j'ai commencé à jouer avec le sommeil longueur de diverses manières. Je n'ai trouvé aucun motif réel du comportement, mais je n'ai trouver que si elle est trop courte, plus précisément Firefox ne va pas jouer à la balle (Chrome et IE semblent être assez bien comportés). Je ne sais pas ce que la définition de "trop court" est en termes réels, mais 5 secondes semble de travail à chaque fois.

    Si un passage Javascript ninjas voulez expliquer un peu mieux ce qu'il se passe, pourquoi c'est (probablement) mauvais, peu fiable, le pire de code qu'ils aient jamais vu, etc j'ai serons ravis de vous écouter.

    Semble que vous pouvez supprimer tous vos soucis phrases

    OriginalL'auteur DaveRandom

  11. 5

    En 2015, vous devez utiliser CSP2 de châssis ancêtres directive pour cela. Ceci est mis en œuvre par l'intermédiaire d'une tête de réponse HTTP.

    par exemple

    Content-Security-Policy: frame-ancestors 'none'

    Bien sûr, pas beaucoup de navigateurs prennent en charge CSP2 encore si il est sage d'inclure la vieille X-Frame-Options en-tête:

    X-Frame-Options: DENY

    Je vous conseille d'inclure à la fois de toute façon, sinon, votre site continuera à être vulnérables à Le Clickjacking attaques dans les anciens navigateurs, et bien sûr, vous obtenez indésirables cadrage, même sans intention malveillante. La plupart des navigateurs ne mettre à jour automatiquement ces jours, mais vous avez toujours tendance à obtenir de l'entreprise utilisateurs d'être coincé sur les anciennes versions d'Internet Explorer pour des applications héritées des raisons de compatibilité.

    OriginalL'auteur SilverlightFox

  12. 4

    Bien, vous pouvez modifier la valeur du compteur, mais évidemment c'est un fragile de la solution. Vous pouvez charger votre contenu via AJAX après avoir déterminé le site n'est pas dans un cadre a également pas une bonne solution, mais je l'espère évite de tir la sur beforeunload événement (je suppose).

    Edit: une Autre idée. Si vous constatez que vous êtes dans un cadre, de demander à l'utilisateur de désactiver le javascript, avant de cliquer sur un lien qui vous mène à l'URL souhaitée (passage d'une chaîne de requête qui permet à votre page de savoir dire à l'utilisateur qu'il peut ré-activer javascript une fois qu'ils sont là).

    Edit 2: le nucléaire - si vous remarquez que vous êtes dans une image, il suffit de supprimer le corps du document contenu et d'impression désagréable message.

    Edit 3: Pouvez-vous énumérer le haut du document et de définir toutes les fonctions à null (même anonyme)?

    Outlook (anciennement Hotmail), il va à "nucléaire" s'il ne peut pas sortir d'un cadre - il met tout le contenu de la <body> à l'intérieur d'un <plaintext> tag set de display: none. C'est assez efficace.

    OriginalL'auteur RedFilter

  13. 4

    Si vous ajoutez une alerte à droite après le buster code, l'alerte de décrochage de l'javascript fil, et il permet le chargement de la page. C'est ce que StackOverflow, et bustes de mon iframe, même lorsque j'utilise l'image éclatante de buster. Il a également travaillé avec mon simple page de test. Cela a seulement été testé dans Firefox 3.5 et IE7 sur windows.

    Code:

    <script type="text/javascript">
if (top != self){
top.location.replace(self.location.href);
alert("for security reasons bla bla bla");
}
</script>

    OriginalL'auteur Marius

  14. 3

    Je pense que vous avez été près de là. Avez-vous essayé:

    window.parent.onbeforeunload = null;
window.parent.location.replace(self.location.href);

    ou bien:

    window.parent.prevent_bust = 0;

    Remarque: je n'ai pas fait le test.

    J'ai édité le code de l'échantillon (test pour le parent semble à l'échec), mais la version modifiée NE semble fonctionner!
    Cool. Il est toujours difficile de répondre avec du code non testé - je faire pour obtenir au moins l'idée de l'ensemble et laisser le pauvre asker de débogage. 🙂
    Ne fonctionne pas si le parent est sur un autre domaine, qui est probablement le cas!

    OriginalL'auteur Jeff Meatball Yang

  15. 2

    Qu'en appelant le buster à plusieurs reprises ainsi? Cela va créer une situation de concurrence, mais on peut espérer que le buster vient en tête:

    (function() {
if(top !== self) {
top.location.href = self.location.href;
setTimeout(arguments.callee, 0);
}
})();

    OriginalL'auteur Christoph

  16. 2

    Si vous regardez les valeurs retournées par setInterval() ils sont généralement de simples chiffres, de sorte que vous pouvez normalement désactiver toutes ces interruptions avec une seule ligne de code:

    for (var j = 0 ; j < 256 ; ++j) clearInterval(j)

    OriginalL'auteur Robin Nixon

  17. 2

    J'ai peut-être juste tout juste d'avoir un moyen de le buste le cadre de buster buster javascript. À l'aide de la getElementsByName dans ma fonction javascript, j'ai mis une boucle entre le cadre buster et le cadre buster buster script.
    vérifiez ce post. http://www.phcityonweb.com/frame-buster-buster-buster-2426

    OriginalL'auteur Phcityonweb

  18. 0

    setInterval et setTimeout créer une incrémentation automatique de l'intervalle. Chaque fois setTimeout ou setInterval est appelée, cette proportion passe par un, de sorte que si vous appelez setTimeout, vous aurez le courant, la valeur la plus élevée.

       var currentInterval = 10000;
currentInterval += setTimeout( gotoHREF, 100 );
for( var i = 0; i < currentInterval; i++ ) top.clearInterval( i );
//Include setTimeout to avoid recursive functions.
for( i = 0; i < currentInterval; i++ )     top.clearTimeout( i );
function gotoHREF(){
top.location.href = "http://your.url.here";
}

    Car il est presque inconnu pour qu'il y ait 10000 simultanée setIntervals et setTimeouts de travail, et depuis setTimeout renvoie "dernier intervalle ou de l'expiration de créé + 1", et depuis le haut.clearInterval est toujours accessible, ce sera l'encontre du black-hat attaques à l'image des sites web qui sont décrits ci-dessus.

    OriginalL'auteur cwallenpoole

  19. 0

    Utiliser htaccess pour éviter haute-jacking jeu de cadres, iframe et de tout contenu comme des images.

    RewriteEngine on
RewriteCond %{HTTP_REFERER} !^http://www\.yoursite\.com/[NC]
RewriteCond %{HTTP_REFERER} !^$
RewriteRule ^(.*)$ /copyrights.html [L]

    Ceci affichera une page de copyright à la place de l'.

    Cela repose sur le référent qui est: a) de ne pas toujours ensemble (en raison de paramètres de navigateur ou d'extensions ou tout simplement parce que la page est à l'aide de HTTPS sans l'aide de <meta name="referrer" …/> et b) pose aussi lorsque l'on clique sur les liens, vous aussi interdire les liens de votre page et de briser le web.

    OriginalL'auteur B.F.