iframe elementas įterpia kitus tinklalapius tiesiai į dabartinį puslapį. HTML5 pristato tris naujus šio elemento atributus, kurie padės išspręsti HTML4 saugumo ir naudojimo problemas iframe įgyvendinimas.
„Smėlio dėžės“ atributas
smėlio dėžė atributas iframe elementas yra naudinga „iframe“ saugos funkcija. Kai įdėsite jį į iframe elementas, vartotojo agentas neleidžia funkcijų, kurios gali kelti saugumo riziką svetainei ir jos vartotojams.
Pavyzdžiui:
nurodo naršyklei neleisti visų funkcijų, kurios gali kelti pavojų saugumui - taigi nereikia jokių papildinių, formų, scenarijų, siunčiamų nuorodų, sausainiai, vietinę saugyklą ir prieigą prie tos pačios svetainės puslapių.
Tada naudodamiesi smėlio dėžė raktinių žodžių vertės, iš naujo įgalinkite kai kurias funkcijas. Šie raktiniai žodžiai yra:
- leisti formas: Leisti pateikti formą.
- leisti-tos pačios kilmės: Leiskite scenarijams pasiekti turinį, pvz., Slapukus iš to paties kilmės domeno.
- leisti scenarijus: Leiskite scenarijams paleisti šiame „IFRAME“.
- leisti viršuje naršyti: Leiskite „iframe“ nuorodas ir scenarijus nukreipti į tikslą „_top“
Nenustatykite abiejų leisti scenarijus ir leisti-tos pačios kilmės raktinius žodžius kartu iframe. Jei taip padarysite, įdėtas puslapis gali pašalinti smėlio dėžė atmetant jo saugumo privalumus.
„Srcdoc“ atributas
srcdoc atributas suteikia interneto dizaineriui didesnę kontrolę per „iframe“ ir daugiau saugumo. Užuot susieję su kitu tinklalapiu URL, interneto dizaineris įdeda HTML, kuris turi būti rodomas iframe viduje srcdoc atributas.
Įtraukiant HTML, kurį sukuria nepatikimas šaltinis, pvz., Forma, į iframe galite nepatikimą turinį perkelti į smėlio dėžę ir vis tiek jį rodyti puslapyje. Tinklaraščio komentarai yra pavyzdys. Dauguma tinklaraščių siūlo tik ribotą skaičių HTML žymų, kurias komentatoriai gali naudoti savo komentaruose. Bet dedant tuos komentarus į smėlio dėžę iframe naudojant srcdoc atributas, komentarai gali būti patikimesni ir vis tiek apsaugoti visą svetainę.
Saugumas ir „Iframe“
Pirmiau nurodyti du atributai užtikrina jūsų saugumą iframe elementai, tačiau jie nėra apsauga nuo visų kenkėjiškų svetainių. Jei kenkėjiška svetainė gali įtikinti jūsų svetainės lankytojus tiesiogiai pasiekti priešišką turinį (pvz., Įvesdami URL į savo naršyklę), jie vis tiek gali būti užpulti.
Jei galite, nustatykite turinį, kuris yra smėlio dėžėje iframe kaip text / html-sandboxed MIME tipas.
„Besiūlis“ atributas
vientisas atributas yra loginis atributas, liepiantis naršyklei rodyti iframe tarsi tai būtų pirminio dokumento dalis. Jei norite savo iframe norėdami rodyti sklandžiai, tiesiog įtraukite šį elementą į elementą:
Bet padaryti iframe „seamless“ yra ne tik išvaizda, bet ir tai, kaip puslapis sąveikauja su rėmeliu. Keletas patarimų:
- Nuorodos į iframe bus atidarytas tėvų lange, nebent iframe puslapyje nustatytas tikslinis „_SELF“.
- CSS iframe bus pridėta prie viso dokumento pakopos.
- Šaknies elementas iframe puslapis yra laikomas iframe.
- Plotis ir aukštis iframe yra nustatomi panašiai kaip kiti bloko lygio elementai būtų nustatyta.
- Kai pirminį dokumentą peržiūri kalbos pateikimo įrankis, pvz., Ekrano skaitytuvas, iframe būtų skaitoma nepranešus apie tai kaip atskirą dokumentą.
Bet kokie pirminio dokumento scenarijai turės įtakos iframe dokumentą tokiu pačiu būdu. Pvz., Jei scenarijuje išvardyti visi puslapio rėmeliai, nuorodos iframe būtų išvardyti taip pat.
Kitaip tariant, vientisas atributas daro daug daugiau nei tik pašalina sienas iš iframe. Jei ketinate nustatyti iframe Jei norite būti vientisas, turėtumėte būti tikri dėl turinio, kad įterpdami kenkėjišką svetainę nepridarytumėte jokio pavojaus savo svetainei.