最近小编在百度统计后台经常看到一些外部链接连接到自己的网站。它们来自一些提供搜索服务但并不是我们常见的搜索引擎的网站。而且其中甚至有些网站的搜索结果并不会跳转到对应网站,而是将相应的网页通过 <iframe> 方式嵌入到自己的网站来展示。使用iframe框架来引用网页是一些不法分子的“钓鱼”手段。更有甚者一些站长辛辛苦苦做起来的网站内容被这些貌似搜索引擎,实则是剽窃别人劳动果实来提升自己网站权重,不得不说这是黑帽seo常用的手法,这一点它是和搜索引擎完全貌合神离的,各路站长应坚决抵制!
小编看了,这个网址www.smiseo.com主域名下是一家深圳seo的公司网站,就是一个做黑帽seo的。那么 如何防止WordPress网站被人使用iframe框架恶意调用?我们可以通过 X-Frame-Options 来使这种方式失效,避免网页被人恶意使用!
这里有两种防止网站通过iframe框架被其他人引用的实用方法。
方法一
js的防御方案:将以下代码放在站点页的</body>标记前面,以便当有人通过iframe框架引用你的网站网页时,浏览器会自动跳转到站点引用的页面。
<script>
if(self==top){
vartheBody=document.getElementsByTagName(‘body’)[0];
theBody.style.display=“block”;
}else{
top.location=self.location;
}
</script>
方法二
使用X-Frame-Options防止网页被iframe:X-FRAME-OPTIONS是微软提出的一个http头,用于防御使用iframe嵌套的点击劫持攻击。并且在IE8、Firefox3.6、Chrome4以上的版本均能很好的支持。
这个头有三个价值:
DENY//拒绝任何域加载
SAMEORIGIN//允许同源域下加载
ALLOW–FROM//可以定义允许frame加载的页面地址
在PHP中设置的示例:
header(“X-FRAME-OPTIONS:
使用方法:
可以通过配置网页服务器(如 Apache)实现,也可以直接作为页面 header 的内容硬编入页面源代码(该方式不符合 HTML 规范)。
配置网页服务器
在网页服务器中配置按说是最省事的。其中,Apache 服务器的配置为,在网站的主机配置中加入下面的代码。也可以加入到网站的 .htaccess
文件中。
<ifModule mod_headers.c>
Header always append X-Frame-Options SAMEORIGIN
</ifModule>
当然这个需要 Apache 启用了 mod_headers 模块。
另外,也可以直接写成,
<ifModule mod_headers.c>
X-XSS-Protection: 1; mode=block
X-Frame-Options: SAMEORIGIN
X-Content-Type-Options: nosniff
</ifModule>
这里同时加入了另外两个选项以提高网站安全性。或者写成;
<ifModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
Header always append X-Frame-Options SAMEORIGIN
Header set X-Content-Type-Options: "nosniff”
</ifModule>
如果是 Nginx,可以在 http、server 或者是 location 配置中加入:
add_header X-Frame-Options SAMEORIGIN;
重启网页服务器就生效了!这时候再刷新那些个链接就会显示如下这样了!哈哈哈!