如果您在buster代码之后添加警报，那么警报将使javascript线程停止，并让页面加载。这就是StackOverflow所做的，它破坏了我的iframes，即使当我使用框架破坏buster。它也适用于我的简单测试页面。这个功能只在windows下的Firefox 3.5和IE7中测试过。

代码:

<script type="text/javascript">
if (top != self){
  top.location.replace(self.location.href);
  alert("for security reasons bla bla bla");
}
</script>

我不确定这是否可行，但如果你不能打破框架，为什么不只是显示一个警告。例如，如果你的页面不是“顶部页面”，创建一个setInterval方法来尝试打破框架。如果经过3或4次尝试，你的页面仍然不是顶部页面-创建一个div元素，覆盖整个页面(模态框)的消息和链接，如…

您正在未经授权的框架窗口中查看此页面- (Blah Blah…潜在的保安问题) 单击此链接可修复此问题

不是最好的，但我不认为他们可以通过剧本来解决这个问题。

从2015年开始，你应该使用CSP2的框架祖先指令。这是通过HTTP响应头实现的。

e.g.

Content-Security-Policy: frame-ancestors 'none'

当然，目前还没有多少浏览器支持CSP2，所以包含旧的X-Frame-Options报头是明智的:

X-Frame-Options: DENY

我建议无论如何都要包括这两种，否则你的网站将继续在旧浏览器中容易受到Clickjacking攻击，当然，即使没有恶意，你也会得到不受欢迎的框架。现在大多数浏览器都能自动更新，但是由于遗留应用程序兼容性的原因，企业用户仍然会被困在旧版本的Internet Explorer上。

我想你已经差不多了。你有没有试过:

window.parent.onbeforeunload = null;
window.parent.location.replace(self.location.href);

或者,或者:

window.parent.prevent_bust = 0;

注意:我实际上并没有对此进行测试。

在思考了一段时间后，我相信这会让他们知道谁才是老大……

if(top != self) {
  window.open(location.href, '_top');
}

使用_top作为window.open()的目标参数将在同一窗口中启动它。

我想到了这个，它至少在Firefox和Opera浏览器中是有效的。

if(top != self) {
 top.onbeforeunload = function() {};
 top.location.replace(self.location.href);
}