防止子 iframe "破坏框架"

这是我的第一篇帖子，如果不起作用请不要抨击我，但此修复方法在IE中似乎对我有效。
在您的框架中添加security="restricted"。

示例：

<iframe id="frame_id" name="frame_name" security="restricted" src="page.html">  
</iframe>

编辑：我发现了更好的解决方案。它不会阻止脚本且不需要JavaScript。尝试使用sandbox="..."

• allow-forms 允许表单提交
• allow-popups 允许弹出窗口
• allow-pointer-lock 允许指针锁定
• allow-same-origin 允许文档维持其来源
• allow-scripts 允许执行JavaScript，并允许自动触发功能
• allow-top-navigation 允许文档通过导航顶层窗口来跳出框架

您想要防止顶部导航，因此请将其去除，然后它将不被允许。任何省略的内容将被阻止

例如：

<iframe sandbox="allow-same-origin allow-scripts allow-popups allow-forms" src="http://www.example.com"></iframe>

有一种技术可以禁用防止框架被破坏的代码，如在较新的SO问题中所讨论的：

实际上，你的框架破解代码也可以被破解，如此示例所示：

<script type="text/javascript">
    var prevent_bust = 0  
    window.onbeforeunload = function() { prevent_bust++ }  
    setInterval(function() {  
      if (prevent_bust > 0) {  
        prevent_bust -= 2  
        window.top.location = 'http://server-which-responds-with-204.com'  
      }  
    }, 1)  
</script>

以下代码实现了如下功能:

• 通过 window.onbeforeonload 事件处理程序，每当浏览器试图离开当前页面时，计数器将加一
• 使用 setInterval() 设置定时器，每毫秒触发一次，如果它检测到计数器已经增加，则将当前位置更改为攻击者控制的服务器
• 该服务器提供带有 HTTP 状态码 204 的页面，这不会导致浏览器导航到任何地方

一个很重要的问题，我希望更多人认真对待它，而不是仅仅回复一些关于“尊重”那些被链接材料愿望的无聊评论。那么，我们该如何尊重那些被窃取的流量和防止框架破坏的JavaScript脚本呢？
在网络礼仪中，防止框架破坏的脚本实际上是一个大忌讳，因为这正是导致流量被盗的原因之一。使用框架或iframe有许多合理、无辜的理由。而且，代码（尤其是URL）很容易被合法或非法地插入到框架页面中，从而将流量有意或无意地引导到另一个页面，然后粗鲁地打破框架并窃取流量。
对于那些不希望自己的材料被显示在框架中的网站管理员来说，正确的网络礼仪方法是制作一个重定向脚本，将浏览者引导到一个顶级页面，显示一条消息，告知浏览者请求的页面不应在框架中查看。如果他们想查看该页面，则可以在新标签页或浏览器页面中打开一个链接的URL，这不会破坏框架并窃取原始网站的流量，从而允许浏览者自己选择他们想要浏览的内容。
我希望更多的网站管理员能够尊重这样的网络礼仪。

在经过了大量搜索之后，我想到了一个简单的方法。我在自己的网站上创建了一个虚拟页面，然后通过 i frame 调用它。接着，在虚拟页面中添加了一个 i frame，用于调用需要打破框架限制的网站。这样就可以顺利地跳出第一个框架，而由于虚拟页面是在我的网站上，所以它仍旧保持在顶层页面的框架内。即可实现这个技巧。