Не дать загружать страницу в iframe

15 декабря 2011

Вот таким вот способом можно попортить жизнь тем, кто вздумал грузить вашу страницу в iframe:

if((self.parent && !(self.parent===self)) && (self.parent.frames.length != 0)){
  self.parent.location=document.location;
}

Если верно помню, встречено на Яндексе образца 2009 года.

Комментарии RSS по email OK

№5668

Костег 15 дек. 2011 г., 2:43:03

Что за бубуйня? Как это политика безопасности браузеров позволяет дочернему ифрейму с другого домена перегружать родительскую страницу?
№5669

Shimon 15 дек. 2011 г., 3:11:50

Mozhno i pokoroche - http://en.wikipedia.org/wiki/Framekiller
№5671

Anton Shevchuk 15 дек. 2011 г., 11:34:14
А лучше отправить правильный ;)
```
header('X-Frame-Options: SAMEORIGIN');
```
№5672

Anton Shevchuk 15 дек. 2011 г., 11:43:41

Отправить правильный заголовок...
№5676

CTAPbIu_MABP 15 дек. 2011 г., 13:23:31

Костег прав, этот код из 2009 и к современности отношения не имеет.
№5678

Sam 15 дек. 2011 г., 19:55:09

Костег, CTAPbIu_MABP, http://rmcreative.ru/playground/iframe_loader.html
№5679

CTAPbIu_MABP 15 дек. 2011 г., 20:12:23

то есть доку я могу выкинуть.... https://developer.mozilla.org/En/Same_origin_policy_for_JavaScript
№5680

Sam 15 дек. 2011 г., 20:49:37

CTAPbIu_MABP, определённо можешь :) Я проверил в последнем FF.
№5681

MT 15 дек. 2011 г., 20:52:10
На уровне JS (если IE6 и IE7, не поддерживающие X-Frame-Options, с их 5%-й долей ещё имеют значение для конкретного сайта) можно напакостить и иначе:
```
document.body.innerHTML = '';
```
№5682

CTAPbIu_MABP 15 дек. 2011 г., 20:57:01

Да я и сам проверил, просто странно что люди придумывают всякие onhashchange события из-за этой кросдомеин полиси а она не работает. Может надо баг в Мурзилку оформить, я хз.
№5683

Максим 15 дек. 2011 г., 22:51:44

Способ старый, но, верный.
№6395

Дрен 01 июля 2012 г., 19:19:49

Спасибо, будем пробовать.