Comment empêcher mon site à la page pour être chargés via la 3ème partie du site cadre de l'iFrame

Comment puis-je savoir que ma page est incorporé comme une trame à l'autre site lors du chargement d'une page? Je suppose que référent en-tête de requête ne peut pas m'aider ici? Merci.

Salut, John, je ne peux pas dire que j'ai besoin de solution complète ici, juste la direction de déplacement est suffisant, après, je suis la recherche de réponse sur ma question, je suis toujours en poste en tant que réponse à une question, c'est la seule façon que je peux participer à la communauté.
Remarque: la Configuration de la balise meta est inutile! Par exemple, <meta http-equiv="X-Frame-Options" content="refuser"> n'a aucun effet. Ne l'utilisez pas! Que par la mise en au travers de l'en-tête HTTP, comme les exemples ci-dessous, X-Frame-Options de travail. developer.mozilla.org/fr/docs/Web/HTTP/Headers/X-Frame-Options

InformationsquelleAutor abovesun | 2010-05-24

92

Vous ne pouvez pas vérifier du côté du serveur, mais vous pouvez utiliser javascript pour détecter une fois la page chargée. Comparer top et self, si elles ne sont pas identiques, vous êtes dans un cadre.

En outre, certains navigateurs modernes respecter les X-FRAME-OPTIONS en-tête, qui peut avoir deux valeurs:
- REFUSER empêche la page de rendu s'il est contenu dans un cadre
- SAMEORIGIN – même que ci-dessus, sauf si la page appartient au même domaine que le haut-niveau cadre titulaire.
Les utilisateurs de Google Picasa, qui ne peuvent pas être intégrés dans un cadre.

Les navigateurs qui prennent en charge l'en-tête, avec la version minimale:
- IE8 et IE9
- Opera 10.50
- Safari 4
- Chrome 4.1.249.1042
- Firefox 3.6.9 (les anciennes versions avec NoScript)
- Depuis que je suis tombé ici par l'intermédiaire d'une recherche sur google, je vais ajouter que Firefox a ajouté le X-FRAME-OPTIONS en août 2010 avec FF3.6.9: michael-coates.blogspot.com/2010/08/...
- merci, j'ai mis à jour ma réponse.
- À partir de l'owasp owasp.org/index.php/...
InformationsquelleAutor Maerlyn
40

Stackoverflow comprend certains JS pour le tester (master.js). C'est la partie pertinente de celui-ci:
```
if(top!=self){
    top.location.replace(document.location);
    alert("For security reasons, framing is not allowed; click OK to remove the frames.")
}
```
Mais gardez à l'esprit que le JS peut être désactivé.
- Cette approche est particulièrement utile si vous souhaitez faire parvenir un message à la personne qui est en train de mettre votre contenu dans une iframe, ou l'utilisateur final de leur site qui est à la recherche à votre contenu dans l'iframe.
InformationsquelleAutor Felix Kling
24

Pour les navigateurs modernes, vous pouvez utiliser CSP (Contenu de la Politique de Sécurité), qui est un standard. L'en-tête suivant permettra d'éviter le document à partir de chargement dans un cadre de n'importe où:
```
Content-Security-Policy: frame-ancestors 'none'
```
(IE 11 besoins de la X- préfixe, tout de même). Vous pouvez également modifier 'none' à l'origine sur lequel le cadrage est autorisée, comme votre propre site.

Pour couvrir les anciens navigateurs, ce qui est le mieux utilisé avec @Maerlyn réponse.
- Votre réponse n'est pas assez clair avec tout le respect dû. Est ce code d'en-tête ou PHP? Par exemple.
- C'est un en-tête HTTP de la réponse au navigateur lors de la diffusion d'une page. Ce n'est pas le code PHP, mais vous pouvez utiliser PHP pour envoyer; voir header()
InformationsquelleAutor rvighne
13

vous pouvez empêcher le chargement de la page dans un iframe avec javascript
```
<script type="text/javascript">
if ( window.self !== window.top ) {
    window.top.location.href=window.location.href;
}
</script>
```
cette modification du code d'adresse de votre contenant de la page en iframe dans la page de l'adresse et de la force de conteneur pour afficher votre page.
- sandbox attribut sur iframe permet d'interdire un tel cadrage échapper hacks. Ainsi, de cette façon n'est pas garanti de manière à empêcher le cadrage, dans le cas où votre préoccupation est la sécurité.
InformationsquelleAutor iman
6

Ou vous pouvez bloquer un domaine spécifique si vous n'avez pas l'esprit de votre contenu, à certains endroits, mais ne veux pas de ça sur un certain site. Par exemple, si offendingdomain.com a été l'incorporation de votre contenu, vous pourriez faire ceci:
```
<script type="text/javascript">
    if(document.referrer.indexOf("offendingdomain.com") != -1) {
        window.location = "http://www.youtube.com/watch_popup?v=oHg5SJYRHA0";
    }
</script>
```
Ce serait de vérifier le document parent de l'emplacement et de voir si c'est la offendingdomain.com qui est à l'incorporation de votre contenu. Ce script enverra alors que l'iframe d'un certain célèbre vidéo youtube en guise de punition. En effet, ils ont juste Rick Laminé à eux-mêmes.

InformationsquelleAutor earl3s
2

Utiliser javascript pour vérifier si il a été chargé sur iframe en plaçant le script suivant à la fin de votre fichier php et de rediriger vers une page qui affiche l'avertissement ou de l'avis que votre page ne doit pas être chargé à l'aide d'une iframe.
```
<script type="text/javascript">
if(top.location != window.location) {
    window.location = '/error_iframe.php';
}
</script>
```
InformationsquelleAutor jmslouie

Vous devez vous connecter pour publier un commentaire.