注：我指一个网站被第三方网站以iframe的形式调用时，被调用网站的禁止策略 和 调用网站的突破禁止策略，跟XSS麽关系，但跟clickjacking有点联系。(这里简称插与被插，这样理解起来简单些；并不是指向某一个iframe里插入数据)

网上通用的防插那版是（子http://test2/test2.html）：

if(top.location != self.location){
top.location = self.location;
}

强插方案为（父http://test1/test1.html）：

var location="";

其中这个location是对被赋值的top.location方法的覆盖，导致方法失效。

昨天又遇到另外一个版本（子http://test2/test2.html）：

if(window!=parent){
parent.navigate(location);
}

强插方案为（父http://test1/test1.html）：

var navigate="";

即是对parent.navigate方法的覆盖，导致再次引用失效。

那么两个和在一起的强插方案是，在iframe之前加入（父http://test1/test1.html）：

<script>var location="";var navigate="";</script>

ok，就这些，睡觉去了！

iframe的防插与强插（二）

Monyer