使用iframe嵌套页面拒绝访问

一、什么是iframe嵌套页面拒绝访问
1. iframe技术

<iframe src="child.html"></iframe>
iframe是一种HTML标签，可以将其他页面嵌入到当前页面中展示，从而实现多个网页的嵌套显示。

2. iframe嵌套页面拒绝访问

<iframe src="child.html" sandbox></iframe>
如果在iframe标签中添加sandbox属性，则会使用一个限制性模式，防止被嵌套的页面窃取当前页面的Cookie、session等敏感信息，以及欺骗用户。

3. 拒绝访问方式

<iframe src="child.html" sandbox="allow-scripts allow-same-origin"></iframe>
在添加了sandbox属性之后，还可以增加一些额外的参数，来灵活控制要拒绝的行为。其中，allow-scripts表示不允许嵌套的页面执行任何Javascript脚本，allow-same-origin表示只允许嵌套的页面与当前页面来自相同的域名。

二、为什么需要使用iframe嵌套页面拒绝访问
1. 安全性

如果在当前页面中直接使用iframe嵌套其他页面，可能会面临注入攻击、XSS攻击等网络安全风险。而使用sandbox属性可以限制嵌套页面的行为，从而提高整个系统的安全性。

2. 隔离性

有些网站可能希望在自己的网页中嵌入其他网站的页面，但是又不希望其他网站能够在嵌入页面中获取到自己网站的敏感信息，此时使用sandbox属性可以实现隔离和保护。

三、如何实现iframe嵌套页面拒绝访问
1. 修改iframe标签

<iframe src="child.html" sandbox="allow-scripts allow-same-origin"></iframe>
通过在iframe标签中添加sandbox属性来实现。

2. 设置默认请求头

Content-Security-Policy: frame-ancestors 'none'
可以在HTTP响应中设置Content-Security-Policy头部，来明确限制iframe的父级页面，以此来避免iframe嵌套页面被其他非法网站嵌套。

四、使用实例
1. HTML页面
<!DOCTYPE html>
<html>
<head>
  <title>Main Page</title>
  <meta charset="UTF-8">
</head>
<body>
  <h1>This is Main Page</h1>
  <iframe src="https://example.com" sandbox="allow-scripts allow-same-origin"></iframe>
</body>
</html>
2. PHP页面
<?php
header('Content-Security-Policy: frame-ancestors 'none'');
?>
<!DOCTYPE html>
<html>
<head>
  <title>Main Page</title>
  <meta charset="UTF-8">
</head>
<body>
  <h1>This is Main Page</h1>
  <iframe src="https://example.com" sandbox="allow-scripts allow-same-origin"></iframe>
</body>
</html>
五、总结
本文介绍了使用iframe嵌套页面拒绝访问的方式，包括什么是iframe嵌套页面拒绝访问、为什么需要使用iframe嵌套页面拒绝访问、如何实现iframe嵌套页面拒绝访问，以及使用实例。这种方式可以有效提高页面的安全性和隔离性，值得开发者们在实际项目中加以应用。