所有建议的解决方案都直接强制改变顶部窗口的位置。如果用户想要帧在那里怎么办?例如，搜索引擎的图像结果中的顶部帧。

我写了一个原型，默认情况下所有输入(链接、表单和输入元素)都是禁用的，激活时什么都不做。

如果检测到包含帧，输入将被禁用，并在页面顶部显示警告消息。警告消息包含一个链接，该链接将在新窗口中打开该页的安全版本。这可以防止页面被用于点击劫持，同时仍然允许用户在其他情况下查看内容。

如果没有检测到包含帧，则输入被启用。

这是代码。您需要将标准HTML属性设置为安全值，并添加包含实际值的附加属性。它可能是不完整的，对于完全安全的附加属性(我在考虑事件处理程序)可能必须以同样的方式处理:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<html>
  <head>
    <title></title>
    <script><!--
      function replaceAttributeValuesWithActualOnes( array, attributeName, actualValueAttributeName, additionalProcessor ) {
        for ( var elementIndex = 0; elementIndex < array.length; elementIndex += 1 ) {
          var element = array[ elementIndex ];
          var actualValue = element.getAttribute( actualValueAttributeName );
          if ( actualValue != null ) {
            element[ attributeName ] = actualValue;
          }

          if ( additionalProcessor != null ) {
            additionalProcessor( element );
          }
        }
      }

      function detectFraming() {
        if ( top != self ) {
          document.getElementById( "framingWarning" ).style.display = "block";
        } else {
          replaceAttributeValuesWithActualOnes( document.links, "href", "acme:href" );

          replaceAttributeValuesWithActualOnes( document.forms, "action", "acme:action", function ( form ) {
            replaceAttributeValuesWithActualOnes( form.elements, "disabled", "acme:disabled" );
          });
        }
      }
      // -->
    </script>
  </head>
  <body onload="detectFraming()">
    <div id="framingWarning" style="display: none; border-style: solid; border-width: 4px; border-color: #F00; padding: 6px; background-color: #FFF; color: #F00;">
      <div>
        <b>SECURITY WARNING</b>: Acme App is displayed inside another page.
        To make sure your data is safe this page has been disabled.<br>
        <a href="framing-detection.html" target="_blank" style="color: #090">Continue working safely in a new tab/window</a>
      </div>
    </div>
    <p>
      Content. <a href="#" acme:href="javascript:window.alert( 'Action performed' );">Do something</a>
    </p>
    <form name="acmeForm" action="#" acme:action="real-action.html">
      <p>Name: <input type="text" name="name" value="" disabled="disabled" acme:disabled=""></p>
      <p><input type="submit" name="save" value="Save" disabled="disabled" acme:disabled=""></p>
    </form>
  </body>
</html>

那重复地叫假人老兄呢?这将创建一个竞争条件，但人们可能希望buster能够脱颖而出:

(function() {
    if(top !== self) {
        top.location.href = self.location.href;
        setTimeout(arguments.callee, 0);
    }
})();

当然，您可以修改计数器的值，但这显然是一个脆弱的解决方案。你可以在确定网站不在一个框架内后通过AJAX加载你的内容——这也不是一个很好的解决方案，但它有望避免触发on beforeunload事件(我假设)。

编辑:另一个想法。如果你检测到你在一个帧中，请用户禁用javascript，然后点击一个带你到所需URL的链接(传递一个查询字符串，让你的页面知道，告诉用户他们可以重新启用javascript一旦他们在那里)。

编辑2:去核——如果你发现你在一个框架，只要删除你的文档主体内容和打印一些讨厌的消息。

编辑3:您可以枚举顶部文档并将所有函数设置为null(即使是匿名函数)吗?

所有建议的解决方案都直接强制改变顶部窗口的位置。如果用户想要帧在那里怎么办?例如，搜索引擎的图像结果中的顶部帧。

我写了一个原型，默认情况下所有输入(链接、表单和输入元素)都是禁用的，激活时什么都不做。

如果检测到包含帧，输入将被禁用，并在页面顶部显示警告消息。警告消息包含一个链接，该链接将在新窗口中打开该页的安全版本。这可以防止页面被用于点击劫持，同时仍然允许用户在其他情况下查看内容。

如果没有检测到包含帧，则输入被启用。

这是代码。您需要将标准HTML属性设置为安全值，并添加包含实际值的附加属性。它可能是不完整的，对于完全安全的附加属性(我在考虑事件处理程序)可能必须以同样的方式处理:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<html>
  <head>
    <title></title>
    <script><!--
      function replaceAttributeValuesWithActualOnes( array, attributeName, actualValueAttributeName, additionalProcessor ) {
        for ( var elementIndex = 0; elementIndex < array.length; elementIndex += 1 ) {
          var element = array[ elementIndex ];
          var actualValue = element.getAttribute( actualValueAttributeName );
          if ( actualValue != null ) {
            element[ attributeName ] = actualValue;
          }

          if ( additionalProcessor != null ) {
            additionalProcessor( element );
          }
        }
      }

      function detectFraming() {
        if ( top != self ) {
          document.getElementById( "framingWarning" ).style.display = "block";
        } else {
          replaceAttributeValuesWithActualOnes( document.links, "href", "acme:href" );

          replaceAttributeValuesWithActualOnes( document.forms, "action", "acme:action", function ( form ) {
            replaceAttributeValuesWithActualOnes( form.elements, "disabled", "acme:disabled" );
          });
        }
      }
      // -->
    </script>
  </head>
  <body onload="detectFraming()">
    <div id="framingWarning" style="display: none; border-style: solid; border-width: 4px; border-color: #F00; padding: 6px; background-color: #FFF; color: #F00;">
      <div>
        <b>SECURITY WARNING</b>: Acme App is displayed inside another page.
        To make sure your data is safe this page has been disabled.<br>
        <a href="framing-detection.html" target="_blank" style="color: #090">Continue working safely in a new tab/window</a>
      </div>
    </div>
    <p>
      Content. <a href="#" acme:href="javascript:window.alert( 'Action performed' );">Do something</a>
    </p>
    <form name="acmeForm" action="#" acme:action="real-action.html">
      <p>Name: <input type="text" name="name" value="" disabled="disabled" acme:disabled=""></p>
      <p><input type="submit" name="save" value="Save" disabled="disabled" acme:disabled=""></p>
    </form>
  </body>
</html>

if (top != self) {
  top.location.replace(location);
  location.replace("about:blank"); // want me framed? no way!
}

我不确定这是否可行，但如果你不能打破框架，为什么不只是显示一个警告。例如，如果你的页面不是“顶部页面”，创建一个setInterval方法来尝试打破框架。如果经过3或4次尝试，你的页面仍然不是顶部页面-创建一个div元素，覆盖整个页面(模态框)的消息和链接，如…

您正在未经授权的框架窗口中查看此页面- (Blah Blah…潜在的保安问题) 单击此链接可修复此问题

不是最好的，但我不认为他们可以通过剧本来解决这个问题。