A iframe elem beágyaz más weboldalakat közvetlenül az aktuális oldalra. HTML5 három új attribútumot vezet be ehhez az elemhez, hogy segítsen kezelni a HTML4 biztonsági és használhatósági aggályait iframe végrehajtás.
A „sandbox” attribútum
A homokozó attribútuma iframe elem hasznos biztonsági funkció az iframe-ekhez. Amikor egy iframe elemnél a felhasználói ügynök nem engedélyezi azokat a funkciókat, amelyek biztonsági kockázatot jelenthetnek a webhely és a felhasználók számára.
Például:
utasítja a böngészőt, hogy tiltsa le az összes olyan funkciót, amely biztonsági kockázatot jelenthet - tehát nincsenek beépülő modulok, űrlapok, szkriptek, kimenő linkek, sütik, helyi tárhely és ugyanazon a webhelyen történő hozzáférés.
Ezután a homokozó kulcsszóértékek, engedélyezze újra néhány funkciót. Ezek a kulcsszavak:
- engedélyez-formák: Az űrlap elküldésének engedélyezése.
- engedélyez-azonos eredetű: Engedélyezze a szkripteknek, hogy hozzáférjenek az olyan tartalmakhoz, mint az azonos származási tartományból származó sütik.
- engedélyez-szkriptek: Engedélyezze a szkriptek futtatását ebben az IFRAME-ben.
- allow-top-navigation: Engedélyezze az iframe hivatkozásokat és szkripteket a "_top" célpontra
Ne állítsa be mindkettőt engedélyez-szkriptek és engedélyez-azonos eredetű kulcsszavak együtt ugyanazon iframe. Ha mégis megteszi, a beágyazott oldal eltávolíthatja a homokozó attribútum, elutasítva biztonsági előnyeit.
A 'srcdoc' attribútum
A srcdoc attribútum a webdesignernek nagyobb ellenőrzést biztosít az iframe-ek felett, és nagyobb biztonságot nyújt. Ahelyett, hogy más weboldalra mutatna linket URL, a webdesigner a megjelenítendő HTML-t egy iframe benne srcdoc tulajdonság.
Megbízhatatlan forrás, például egy űrlap által létrehozott HTML-fájl elhelyezésével egy iframe a nem megbízható tartalmat sandboxba helyezheti, és továbbra is megjelenítheti az oldalon. Példa erre a blog megjegyzései. A legtöbb blog csak korlátozott számú HTML-címkét kínál, amelyet a hozzászólók használhatnak megjegyzésükben. De azzal, hogy ezeket a megjegyzéseket homokozóba helyezi iframe használni a srcdoc attribútum esetén a megjegyzések erőteljesebbek lehetnek, miközben továbbra is védik a webhely egészét.
Biztonság és iframe-ek
A fenti két attribútum biztonságot nyújt az Ön számára iframe elemek, de nem jelentenek védelmet minden rosszindulatú webhely ellen. Ha a rosszindulatú webhely meg tudja győzni a webhely látogatóit, hogy közvetlenül férjenek hozzá az ellenséges tartalomhoz (például beírva az URL-t a böngészőjükbe), akkor is meg lehet őket támadni.
Ha teheti, állítsa be a homokozóban lévő tartalmat iframe mint a text / html-sandboxed MIME típus.
A „zökkenőmentes” attribútum
A zökkenőmentes attribútum logikai attribútum, amely megmondja a böngészőnek, hogy jelenítse meg a iframe mintha a szülői dokumentum része lenne. Ha akarod iframe zökkenőmentes megjelenítéshez egyszerűen csak írja be ezt az attribútumot az elembe:
De a iframe A zökkenőmentes nem csupán a megjelenés, hanem az, hogy az oldal hogyan hat egymással a kerettel. Néhány tipp:
- Linkek a iframe megnyílik a szülőablakban, hacsak a iframe az oldalon meg van adva a "_SELF" cél.
- CSS a iframe hozzáadódik a teljes dokumentum kaszkádjához.
- A. Gyökéreleme iframe oldalt a iframe.
- A szélessége és magassága iframe hasonló módon vannak beállítva, mint egyéb blokkszintű elemek be lenne állítva.
- Amikor a szülő dokumentumot beszédmegjelenítő eszköz, például képernyőolvasó nézi meg, a iframe külön dokumentumként való bejelentés nélkül olvassák.
A szülődokumentumon található bármelyik szkript befolyásolja a iframe dokumentum ugyanúgy. Például, ha egy szkript felsorolja az oldalon az összes keretet, akkor a iframe szintén szerepelne.
Más szavakkal, a zökkenőmentes attribútum sokkal többet tesz, mint egyszerűen eltávolítja a határokat a iframe. Ha beállít egy iframe hogy zökkenőmentes legyen, nagyon biztosnak kell lennie a tartalmában, hogy rosszindulatú webhely beágyazásával ne tegyen semmilyen biztonsági kockázatot a webhelyére.