В iframe элемент встраивает другие веб-страницы непосредственно в текущую страницу. HTML5 вводит три новых атрибута в этот элемент, чтобы помочь решить проблемы безопасности и удобства использования HTML4. iframe выполнение.
Атрибут "песочница"
В песочница атрибут iframe Элемент - полезная функция безопасности для окон iframe. Когда вы помещаете его в iframe элемент, пользовательский агент запрещает функции, которые могут представлять угрозу безопасности для сайта и его пользователей.
Например:
указывает браузеру запретить все функции, которые могут быть угрозой безопасности - поэтому никаких подключаемых модулей, форм, скриптов, исходящих ссылок, печенье, локальное хранилище и доступ к странице того же сайта.
Затем, используя песочница значения ключевых слов, повторно включите некоторые функции. Вот эти ключевые слова:
- разрешить формы: Разрешить отправку формы.
- разрешить такое же происхождение: Разрешить сценариям доступ к контенту, например куки-файлам, из того же исходного домена.
- разрешить-скрипты: Разрешить скриптам запускаться в этом IFRAME.
- разрешить верхнюю навигацию: Разрешить ссылки iframe и скрипты на цель "_top"
Не устанавливайте оба разрешить-скрипты а также разрешить такое же происхождение ключевые слова вместе на одном iframe. Если вы это сделаете, встроенная страница может удалить песочница атрибут, сводя на нет его преимущества безопасности.
Атрибут srcdoc
В srcdoc Атрибут дает веб-дизайнеру больший контроль над iframe, а также большую безопасность. Вместо ссылки на веб-страницу в другом URL, веб-дизайнер помещает HTML-код для отображения в iframe внутри srcdoc атрибут.
Поместив HTML, созданный из ненадежного источника, например формы, в iframe вы можете изолировать ненадежный контент и по-прежнему отображать его на странице. Комментарии в блогах являются примером. Большинство блогов предлагают лишь ограниченное количество HTML-тегов, которые комментаторы могут использовать в своих комментариях. Но, поместив эти комментарии в изолированную iframe с помощью srcdoc атрибут, комментарии могут быть более надежными, но при этом защищать сайт в целом.
Безопасность и фреймы
Два вышеуказанных атрибута обеспечивают безопасность вашего iframe элементы, но они не являются защитой от всех вредоносных сайтов. Если вредоносный сайт может убедить посетителей вашего сайта напрямую получить доступ к враждебному контенту (например, путем ввода URL-адреса в своем браузере), они все равно могут быть атакованы.
Если можете, установите содержимое, которое находится в песочнице. iframe как текст / HTML-песочница Тип MIME.
Атрибут "бесшовности"
В бесшовные attribute - это логический атрибут, который сообщает браузеру отображать iframe как если бы он был частью родительского документа. Если ты хочешь iframe для плавного отображения просто включите этот атрибут в элемент:
Но делая iframe бесшовные - это больше, чем просто внешний вид, это еще и то, как страница взаимодействует с фреймом. Несколько советов:
- Ссылки в iframe откроется в родительском окне, если iframe страница имеет цель "_SELF".
- CSS в iframe будет добавлен в каскад всего документа.
- Корневой элемент iframe страница считается дочерней iframe.
- Ширина и высота iframe устанавливаются аналогично тому, как другие элементы блочного уровня будет установлен.
- Когда родительский документ просматривается средством обработки речи, например средством чтения с экрана, iframe будет читаться без объявления об этом как отдельный документ.
Любые скрипты в родительском документе повлияют на iframe документ таким же образом. Например, если в сценарии перечислены все фреймы на странице, ссылки в iframe также будут перечислены.
Другими словами, бесшовные атрибут делает гораздо больше, чем просто удаляет границы с iframe. Если вы собираетесь установить iframe Для обеспечения бесперебойной работы вы должны быть очень уверены в содержимом, чтобы не создавать угрозы безопасности для своего веб-сайта, встраивая вредоносный сайт.