我想你已经差不多了。你有没有试过:

window.parent.onbeforeunload = null;
window.parent.location.replace(self.location.href);

或者,或者:

window.parent.prevent_bust = 0;

注意:我实际上并没有对此进行测试。

从2015年开始，你应该使用CSP2的框架祖先指令。这是通过HTTP响应头实现的。

e.g.

Content-Security-Policy: frame-ancestors 'none'

当然，目前还没有多少浏览器支持CSP2，所以包含旧的X-Frame-Options报头是明智的:

X-Frame-Options: DENY

我建议无论如何都要包括这两种，否则你的网站将继续在旧浏览器中容易受到Clickjacking攻击，当然，即使没有恶意，你也会得到不受欢迎的框架。现在大多数浏览器都能自动更新，但是由于遗留应用程序兼容性的原因，企业用户仍然会被困在旧版本的Internet Explorer上。

考虑到当前的HTML5标准为iframe引入了沙盒，当攻击者使用沙盒时，本页中提供的所有帧破坏代码都可以被禁用，因为它限制了iframe以下行为:

allow-forms: Allow form submissions.
allow-popups: Allow opening popup windows.
allow-pointer-lock: Allow access to pointer movement and pointer lock.
allow-same-origin: Allow access to DOM objects when the iframe loaded form same origin
allow-scripts: Allow executing scripts inside iframe
allow-top-navigation: Allow navigation to top level window

请参阅:http://www.whatwg.org/specs/web-apps/current-work/multipage/the-iframe-element.html#attr-iframe-sandbox

现在，考虑攻击者使用以下代码在iframe中托管您的站点:

<iframe src="URI" sandbox></iframe>

然后，所有JavaScript帧破坏代码都将失败。

在检查所有帧总线代码后，只有这个防御在所有情况下都有效:

<style id="antiClickjack">body{display:none !important;}</style>
<script type="text/javascript">
   if (self === top) {
       var antiClickjack = document.getElementById("antiClickjack");
       antiClickjack.parentNode.removeChild(antiClickjack);
   } else {
       top.location = self.location;
   }
</script>

最初由Gustav Rydstedt, Elie Bursztein, Dan Boneh和Collin Jackson提出(2010)

在思考了一段时间后，我相信这会让他们知道谁才是老大……

if(top != self) {
  window.open(location.href, '_top');
}

使用_top作为window.open()的目标参数将在同一窗口中启动它。

if (top != self) {
  top.location.replace(location);
  location.replace("about:blank"); // want me framed? no way!
}

使用htaccess来避免帧集，iframe和任何像图像这样的内容。

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^http://www\.yoursite\.com/ [NC]
RewriteCond %{HTTP_REFERER} !^$
RewriteRule ^(.*)$ /copyrights.html [L]

这将显示一个版权页面，而不是预期的页面。