防止WordPress等网站被别人恶意调用框架-各种防护手段

鳄鱼君

发表文章数:642

热门标签

Vieu四代商业主题

高扩展、安全、稳定、响应式布局多功能模板。

¥69 现在购买
首页 » WordPress » 防止WordPress等网站被别人恶意调用框架-各种防护手段

js 版本

<script type="text/javascript">
        if (self!=top){
            window.top.location.replace(self.location);
        }
</script> 

WordPress 网站可以加在 footer.php 中,其他网站也可以加在底部

WordPress 版本

function break_out_of_frames() {
    if (!is_preview()) {
        echo "\n<script type=\"text/javascript\">";
        echo "\n<!--";
        echo "\nif (parent.frames.length > 0) { parent.location.href = location.href; }";
        echo "\n-->";
        echo "\n</script>\n\n";
    }
}
add_action('wp_head', 'break_out_of_frames'); 

上面两种其实都是 JS 版本的,这样使用是没有问题的,但是当你使用 WordPress 后台自定义编辑的时候,就会跳转,很烦人,你也可以做一下优化,判断是不是你的域名,如果是就不使用。或者通过修改 X-Frame-Options 响应头的方式。

X-Frame-Options 有三个值:

  • DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许
  • SAMEORIGIN:表示该页面可以在相同域名页面的 frame 中展示
  • Allow-From [uri]:表示该页面可以在指定来源的 frame 中展示

换一句话说,如果设置为 DENY,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。另一方面,如果设置为 SAMEORIGIN,那么页面就可以在同域名页面的 frame 中嵌套

PHP 版本

<?php header('X-Frame-Options:Deny'); ?> 

WordPress 网站放到主题模板 header.php 文件中的标签前

Apache 服务器

配置 Apache 在所有页面上发送 X-Frame-Options 响应头,需要把下面这行添加到 ‘site’ 的配置中,在 Apache 主机的 httpd.conf 文件中加上这句后重启生效

Header always append X-Frame-Options SAMEORIGIN 

或者可以在网站根目录下的 .htaccess 文件中添加下面的代码

Header append X-FRAME-OPTIONS "SAMEORIGIN" 

Nginx 服务器

配置 Nginx 发送 X-Frame-Options 响应头,把下面这行添加到 ‘http’,’server’ 或者 ‘location’ 的配置中,重启生效。

add_header X-Frame-Options SAMEORIGIN; 

IIS 服务器

配置 IIS 发送 X-Frame-Options 响应头,添加下面的配置到 Web.config 文件中:

<system.webServer>
  ...

  <httpProtocol>
    <customHeaders>
      <add name="X-Frame-Options" value="SAMEORIGIN" />
    </customHeaders>
  </httpProtocol>

  ...
</system.webServer> 

未经允许不得转载:作者:鳄鱼君, 转载或复制请以 超链接形式 并注明出处 鳄鱼君
原文地址:《防止WordPress等网站被别人恶意调用框架-各种防护手段》 发布于2020-02-05

分享到:
赞(1) 赏杯咖啡

评论 抢沙发

2 + 2 =


文章对你有帮助可赏作者一杯咖啡

支付宝扫一扫打赏

微信扫一扫打赏

Vieu4.6主题
专业打造轻量级个人企业风格博客主题!专注于前端开发,全站响应式布局自适应模板。
切换注册

登录

忘记密码 ?

您也可以使用第三方帐号快捷登录

Q Q 登 录
微 博 登 录
切换登录

注册