我将勇敢地把我的帽子投到这个戒指上(尽管它很古老)，看看我能收集到多少反对票。

以下是我的尝试，在我测试的所有地方(Chrome20, IE8和FF14)，它似乎都有效:

(function() {
    if (top == self) {
        return;
    }

    setInterval(function() {
        top.location.replace(document.location);
        setTimeout(function() {
            var xhr = new XMLHttpRequest();
            xhr.open(
                'get',
                'http://mysite.tld/page-that-takes-a-while-to-load',
                false
            );
            xhr.send(null);
        }, 0);
    }, 1);
}());

我把这段代码放在<head>，并从<body>的末尾调用它，以确保我的页面在它开始与恶意代码争论之前被渲染，不知道这是否是最好的方法，YMMV。

它是如何工作的?

.．.我听到你问了——诚实的回答是，我真的不知道。为了让它在我测试的所有地方都能正常工作，我花了很多功夫，而且它的确切效果会因运行位置的不同而略有不同。

这背后的想法是:

Set a function to run at the lowest possible interval. The basic concept behind any of the realistic solutions I have seen is to fill up the scheduler with more events than the frame buster-buster has. Every time the function fires, try and change the location of the top frame. Fairly obvious requirement. Also schedule a function to run immediately which will take a long time to complete (thereby blocking the frame buster-buster from interfering with the location change). I chose a synchronous XMLHttpRequest because it's the only mechanism I can think of that doesn't require (or at least ask for) user interaction and doesn't chew up the user's CPU time.

对于我的http://mysite.tld/page-that-takes-a-while-to-load (XHR的目标)，我使用了一个PHP脚本，看起来像这样:

<?php sleep(5);

会发生什么呢?

Chrome和Firefox在XHR完成时等待5秒，然后成功重定向到框架页面的URL。 IE几乎立即重定向

你不能避免在Chrome和Firefox中等待时间吗?

Apparently not. At first I pointed the XHR to a URL that would return a 404 - this didn't work in Firefox. Then I tried the sleep(5); approach that I eventually landed on for this answer, then I started playing around with the sleep length in various ways. I could find no real pattern to the behaviour, but I did find that if it is too short, specifically Firefox will not play ball (Chrome and IE seem to be fairly well behaved). I don't know what the definition of "too short" is in real terms, but 5 seconds seems to work every time.

如果任何路过的Javascript高手想要更好地解释一下发生了什么，为什么这(可能)是错误的，不可靠的，为什么这是他们见过的最糟糕的代码等等，我很乐意听。

当然，您可以修改计数器的值，但这显然是一个脆弱的解决方案。你可以在确定网站不在一个框架内后通过AJAX加载你的内容——这也不是一个很好的解决方案，但它有望避免触发on beforeunload事件(我假设)。

编辑:另一个想法。如果你检测到你在一个帧中，请用户禁用javascript，然后点击一个带你到所需URL的链接(传递一个查询字符串，让你的页面知道，告诉用户他们可以重新启用javascript一旦他们在那里)。

编辑2:去核——如果你发现你在一个框架，只要删除你的文档主体内容和打印一些讨厌的消息。

编辑3:您可以枚举顶部文档并将所有函数设置为null(即使是匿名函数)吗?

我不确定这是否可行，但如果你不能打破框架，为什么不只是显示一个警告。例如，如果你的页面不是“顶部页面”，创建一个setInterval方法来尝试打破框架。如果经过3或4次尝试，你的页面仍然不是顶部页面-创建一个div元素，覆盖整个页面(模态框)的消息和链接，如…

您正在未经授权的框架窗口中查看此页面- (Blah Blah…潜在的保安问题) 单击此链接可修复此问题

不是最好的，但我不认为他们可以通过剧本来解决这个问题。

如果你查看setInterval()返回的值，它们通常是单个数字，所以你通常可以用一行代码禁用所有这样的中断:

for (var j = 0 ; j < 256 ; ++j) clearInterval(j)

setInterval和setTimeout创建一个自动递增的时间间隔。每次调用setTimeout或setInterval时，这个数字都会增加1，因此如果调用setTimeout，就会得到当前的最大值。

   var currentInterval = 10000;
   currentInterval += setTimeout( gotoHREF, 100 );
   for( var i = 0; i < currentInterval; i++ ) top.clearInterval( i );
   // Include setTimeout to avoid recursive functions.
   for( i = 0; i < currentInterval; i++ )     top.clearTimeout( i );

   function gotoHREF(){
           top.location.href = "http://your.url.here";
   }

由于几乎没有听说过有10000个同时工作的setinterval和setTimeouts，并且由于setTimeout返回“最后创建的间隔或超时+ 1”，并且由于top。clearInterval仍然是可访问的，这将击败黑帽攻击框架网站上面所描述的。

从2015年开始，你应该使用CSP2的框架祖先指令。这是通过HTTP响应头实现的。

e.g.

Content-Security-Policy: frame-ancestors 'none'

当然，目前还没有多少浏览器支持CSP2，所以包含旧的X-Frame-Options报头是明智的:

X-Frame-Options: DENY

我建议无论如何都要包括这两种，否则你的网站将继续在旧浏览器中容易受到Clickjacking攻击，当然，即使没有恶意，你也会得到不受欢迎的框架。现在大多数浏览器都能自动更新，但是由于遗留应用程序兼容性的原因，企业用户仍然会被困在旧版本的Internet Explorer上。