如何禁止我的网站页面被第三方网站通过 iframe 加载？

当您希望防止其他第三方网站通过iFrame加载您的网站页面时，可以采取多种措施来加强安全性和保护网站内容。以下是一些方法：

1. 使用X-Frame-Options HTTP响应头

X-Frame-Options是一个HTTP响应头，用于控制网页是否有权在iframe、frame、embed或object中显示。您可以设置以下几种值：

• DENY：不允许任何网站通过框架展示本网站的页面。
• SAMEORIGIN：只允许同源的网站通过框架展示本网站的页面。
• ALLOW-FROM uri：只允许特定的URI通过框架展示本网站的页面。

例如，如果您想要完全禁止在iframe中加载您的页面，您可以在您的服务器配置中添加以下指令：

http
X-Frame-Options: DENY

2. 使用Content Security Policy (CSP)

Content Security Policy是一个更加现代和灵活的方式，它允许网站管理员定义页面可以如何执行，还包括指定哪些资源可以被嵌入。通过设置CSP的frame-ancestors指令，您可以控制哪些父级页面可以嵌入您的内容。例如：

http
Content-Security-Policy: frame-ancestors 'self'

这个指令告诉浏览器只允许来自同一源的父页面嵌入内容。如果想要允许特定的第三方域名，可以直接列出它们：

http
Content-Security-Policy: frame-ancestors 'self' https://example.com

3. JavaScript 基于域的检查

虽然不是最可靠的方法，因为用户可以禁用JavaScript或者绕过这些检查，但您还可以使用JavaScript来检查您的页面是否被第三方网站嵌入。以下是一个简单的例子：

javascript
if (window.top !== window.self) {
    window.top.location = window.location;
}

这段代码检查当前页面是否是顶级窗口，如果不是，它会尝试通过改变顶级窗口的地址来跳出iframe。

结合使用

为了最大化安全性，建议结合使用上述几种方法。例如，您可以在您的服务器设置中使用X-Frame-Options和CSP，并在您的前端代码中添加JavaScript检查作为附加的安全措施。

示例：配置 Apache 服务器

如果您的网站运行在Apache服务器上，您可以在.htaccess文件中设置X-Frame-Options：

apache
Header always set X-Frame-Options "DENY"

并且配置CSP：

apache
Header always set Content-Security-Policy "frame-ancestors 'self'"

这样配置后，Apache服务器会自动为所有页面响应添加这些HTTP头。

注意事项

• 需要注意的是，X-Frame-Options已经被CSP的frame-ancestors指令替代，但由于旧浏览器可能不支持CSP，为了兼容性，可能需要同时使用两种方法。
• 对于任何安全措施，都应当定期审查和测试以确保它们仍然有效，并且随着浏览器和网站安全标准的发展进行更新。

您可以使用 javascript 阻止在 iframe 中加载页面

shell
<script type="text/javascript">
if ( window.self !== window.top ) {
    window.top.location.href=window.location.href;
}
</script>

此代码将页面 iframe 容器的地址更改为您的页面地址，并强制容器显示您的页面。