新blog地址：http://hengyunabc.github.io/prevent-iframe-stealing/
缘起 在看资料时，看到这样的防止iframe嵌套的代码：
try { if (window.top != window.self) { var ref = document.referer; if (ref.substring(0, 2) === '//') { ref = 'http:' + ref; } else if (ref.split('://').length === 1) { ref = 'http://' + ref; } var url = ref.split('/'); var _l = {auth: ''}; var host = url[2].split('@'); if (host.length === 1) { host = host[0].split(':'); } else { _l.auth = host[0]; host = host[1].split(':'); } var parenthostname = host[0]; if (parenthostname.indexof(test.com) == -1 && parenthostname.indexof(test2.com) == -1) { top.location.href = http://www.test.com; } }} catch (e) {}
假定test.com，test2.com是自己的域名，当其它网站恶意嵌套本站的页面时，跳转回本站的首页。
上面的代码有两个问题：
referer拼写错误，实际上应该是referrer 解析referrer的代码太复杂，还不一定正确 无论在任何语言里，都不建议手工写代码处理url。因为url的复杂度超出一般人的想像。很多安全的问题就是因为解析url不当引起的。比如防止csrf时判断referrer。
uri的语法：
http://en.wikipedia.org/wiki/uri_scheme#generic_syntax
在javascript里解析url最好的办法 在javascript里解析url的最好办法是利用浏览器的js引擎，通过创建一个a标签：
var getlocation = function(href) { var l = document.createelement(a); l.href = href; return l;};var l = getlocation(http://example.com/path);console.debug(l.hostname)
简洁防iframe恶意嵌套的方法 下面给出一个简洁的防止iframe恶意嵌套的判断方法：
if(window.top != window && document.referrer){ var a = document.createelement(a); a.href = document.referrer; var host = a.hostname; var endswith = function (str, suffix) { return str.indexof(suffix, str.length - suffix.length) !== -1; } if(!endswith(host, '.test.com') || !endswith(host, '.test2.com')){ top.location.href = http://www.test.com; }}
java里处理url的方法 http://docs.oracle.com/javase/tutorial/networking/urls/urlinfo.html
用contain, indexof, endwitch这些函数时都要小心。
public static void main(string[] args) throws exception { url aurl = new url(http://example.com:80/docs/books/tutorial + /index.html?name=networking#downloading); system.out.println(protocol = + aurl.getprotocol()); system.out.println(authority = + aurl.getauthority()); system.out.println(host = + aurl.gethost()); system.out.println(port = + aurl.getport()); system.out.println(path = + aurl.getpath()); system.out.println(query = + aurl.getquery()); system.out.println(filename = + aurl.getfile()); system.out.println(ref = + aurl.getref()); }
参考 http://stackoverflow.com/questions/736513/how-do-i-parse-a-url-into-hostname-and-path-in-javascript
http://stackoverflow.com/questions/5522097/prevent-iframe-stealing