IFRAMEがトップレベルウィンドウをリダイレクトしないようにする方法

一部のWebサイトには、IFRAMEエンクロージャから「抜け出す」ためのコードがあります。つまり、ページAがIFRAME親ページの内部として読み込まれた場合、PJavaScript Aによって外部ウィンドウがにリダイレクトされAます。

通常、このJavascriptは次のようになります。

<script type="text/javascript">
  if (top.location.href != self.location.href)
     top.location.href = self.location.href;
</script>

私の質問は次のとおりです。親ページの作成P者であり、内部ページの作成者ではないので、このブレイクアウトAを防ぐにはどうすればよいAですか？

PSそれはクロスサイトセキュリティ違反であるはずだと私には思われますが、そうではありません。

onbeforeunloadプロパティを使用してみてください。これにより、ユーザーはページから移動するかどうかを選択できます。

例：https : //developer.mozilla.org/en-US/docs/Web/API/Window.onbeforeunload

HTML5では、サンドボックスプロパティを使用できます。以下のパンクラットの回答をご覧ください。 http://www.html5rocks.com/en/tutorials/security/sandboxed-iframes/

HTML5では、iframeサンドボックス属性が追加されました。これを書いている時点では、これはChrome、Safari、Firefox、およびIEとOperaの最近のバージョンで動作しますが、あなたが望むことはほとんど行います：

<iframe src="url" sandbox="allow-forms allow-scripts"></iframe>

トップレベルのリダイレクトを許可する場合は、を指定しますsandbox="allow-top-navigation"。

sandbox = "..."を使用します

• allow-formsはフォーム送信を許可します
• allow-popupsはポップアップを許可します
• allow-pointer-lockは、ポインターロックを許可します
• allow-same-originは、ドキュメントがその起源を維持することを許可します
• allow-scriptsはJavaScriptの実行を許可し、機能を自動的にトリガーすることもできます
• allow-top-navigationは、トップレベルのウィンドウをナビゲートすることにより、ドキュメントがフレームから抜け出すことを可能にします

トップナビゲーションは防止したいものなので、省略してください。許可されません。残ったものはすべてブロックされます

例。

        <iframe sandbox="allow-same-origin allow-scripts allow-popups allow-forms" src="http://www.example.com"</iframe>

w3.org仕様を読んだ後。サンドボックスのプロパティを見つけました。

を設定sandbox=""すると、iframeがリダイレクトされなくなります。とは言っても、iframeはリダイレクトされません。あなたは本質的にクリックを失うでしょう。

ここに例：http
: //jsfiddle.net/ppkzS/1/サンドボックスなしの例：http : //jsfiddle.net/ppkzS/

私は質問が行われてから長い時間が経過していることを知っていますが、ここに私の改良版があります。それは、iframeがロードされたときのみ、その後の呼び出しを500ミリ秒待ちます。

<script type="text/javasript">
var prevent_bust = false ;
    var from_loading_204 = false;
    var frame_loading = false;
    var prevent_bust_timer = 0;
    var  primer = true;
    window.onbeforeunload = function(event) {
        prevent_bust = !from_loading_204 && frame_loading;
        if(from_loading_204)from_loading_204 = false;
        if(prevent_bust){
            prevent_bust_timer=500;
        }
    }
    function frameLoad(){
        if(!primer){
            from_loading_204 = true;
            window.top.location = '/?204';
            prevent_bust = false;
            frame_loading = true;
            prevent_bust_timer=1000;
        }else{
            primer = false;
        }
    }
    setInterval(function() {  
        if (prevent_bust_timer>0) {  
            if(prevent_bust){
                from_loading_204 = true;
                window.top.location = '/?204';
                prevent_bust = false;
            }else if(prevent_bust_timer == 1){
                frame_loading = false;
                prevent_bust = false;
                from_loading_204 = false;
                prevent_bust_timer == 0;
            }



        }
        prevent_bust_timer--;
        if(prevent_bust_timer==-100) {
            prevent_bust_timer = 0;
        }
    }, 1);
</script>

そして、onload="frameLoad()"し、 onreadystatechange="frameLoad();"フレームまたはインラインフレームに追加する必要があります。

私はこれにいくつかの便利なハックを見つけました：

JSを使用して子iframeのリダイレクトを停止する方法、または少なくともリダイレクトについてユーザーにプロンプ​​トを表示する方法

http://www.codinghorror.com/blog/2009/06/we-done-been-framed.html

http://coderrr.wordpress.com/2009/02/13/preventing-frame-busting-and-click-jacking-ui-redressing/

iframe内にロードするページは、setIntervalを使用して「ブレークアウト」コードを実行できるため、onbeforeunloadはそれほど現実的ではない可能性があります。ダイアログ。

IEとOperaでのみ機能するiframeセキュリティ属性もあります

:(

私の場合、ユーザーに内部ページにアクセスしてもらい、サーバーが訪問者として自分のIPを表示できるようにします。私がphpプロキシテクニックを使用している場合、内部ページには私のサーバーのIPがビジターとして表示されるため、良くありません。これまでに得た唯一の解決策は、onbeforeunloadを使用することです。これをあなたのページに置いてください：

<script type="text/javascript">
    window.onbeforeunload = function () {                       
         return "This will end your session";
    }
</script>

これは、FirefoxとIEの両方で機能します。つまり、私がテストしたものです。evt.return（whatever）crap ...のようなものを使用しているバージョンが見つかりますが、Firefoxでは機能しません。

そうすることで、フレーム化されたページの任意のアクションを制御できますが、それはできません。同じドメインの発信元ポリシーが適用されます。