近日發現網路上有許多反框架的語法
在擁有後端的時候，我們固然可以使用X-Frame-Option來防止嵌入
可以避免ClickJacking等等不必要的安全問題
但Blogger和Github、Gitlab Page卻不一樣了 他們只有前端的空間 而且為了方便 通常這些提供商是不會幫用戶設置X-Frame-Option的 安全問題是不會 但如果是內容農場就可能把整個網頁蓋板 讓用戶以為是原本的網站 今天就讓我們用安全的角度看待這個問題吧！ 首先，我先一一敘述我在網路上找到現成的程式碼 1.WFUBlog的反框架語法
完整文章看這裡

程式碼：


<!-- 防網頁框架 start -->
<script>
//<![CDATA[
if (top.location != location && document.referrer.search("blogger.com") < 0 && document.referrer.search("blogspot.com") < 0) {
top.location.href = location.href;
}
//]]>
</script>
<!-- 防網頁框架 end -->


說明：

這個程式碼主要是判斷下列幾項 A. top.location —嵌入網站的網址 B. document.referrer —在發送HTTP請求時會帶的一個「Refer」頭 當兩個都判斷是非法的 就直接把top.location (嵌入別人的頁面)的值改成location(被嵌入的頁面)

駭客破解方法：

利用iframe中的sandbox屬性
可以解決這一種修改top.location的問題
程式碼:
<iframe src="https://www.wfublog.com" sandbox="allow-scripts allow-forms"></iframe> 新增短短一個屬性就能破解了防止嵌入的問題
https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/Clickjacking_Defense_Cheat_Sheet.md

總結

此篇文章教了大家各種方法
但絕對不是要各位去破解他人的網站
未經別人的允許
千萬不要擅自使用
有空我也會寫如何防禦這類的惡意代碼
希望能讓Blogger平台更加強大