The iframe елемент вгражда други уеб страници директно в текущата страница. HTML5 въвежда три нови атрибута на този елемент, за да помогне да се отговори на проблемите със сигурността и използваемостта на HTML4 iframe изпълнение.
Атрибут „пясъчник“
The пясъчник атрибут на iframe елемент е полезна функция за сигурност за iframes. Когато го поставите в iframe потребителският агент забранява функции, които могат да представляват риск за сигурността на сайта и неговите потребители.
Например:
инструктира браузъра да забрани всички функции, които могат да представляват риск за сигурността - така че няма приставки, формуляри, скриптове, изходящи връзки, бисквитки, локално хранилище и достъп до страницата на същия сайт.
След това, като използвате пясъчник стойности на ключови думи, активирайте отново някои от функциите. Тези ключови думи са:
- разрешителни форми: Разрешаване на подаване на формуляр.
- позволи-същия произход: Разрешаване на скриптове за достъп до съдържание като бисквитки от същия домейн на произход.
- позволяват скриптове: Позволете на скриптове да се изпълняват в този IFRAME.
- allow-top-navigation: Разрешете връзките и скриптовете на iframe към целта "_top"
Не задавайте и двете позволяват скриптове и позволи-същия произход ключови думи заедно на едно и също iframe. Ако го направите, вградената страница може след това да премахне пясъчник атрибут, отричащ предимствата му за сигурност.
Атрибутът „srcdoc“
The srcdoc attribute дава на уеб дизайнера повече контрол над вградените рамки, както и повече сигурност. Вместо да се свързва с уеб страница в различна URL, уеб дизайнерът поставя HTML, който трябва да се покаже в iframe вътре в srcdoc атрибут.
Чрез поставяне на HTML, създаден от ненадежден източник, като например форма, в iframe можете да изолирате ненадеждното съдържание и все пак да го показвате на страницата. Коментарите в блога са пример. Повечето блогове предлагат само ограничен брой HTML тагове, коментиращите могат да използват в своите коментари. Но като поставите тези коментари в изолирана среда iframe използвайки srcdoc атрибут, коментарите могат да бъдат по-стабилни, като същевременно защитават сайта като цяло.
Сигурност и рамки
Горните два атрибута осигуряват сигурност за вашия iframe елементи, но те не са защита срещу всички злонамерени сайтове. Ако злонамереният сайт може да убеди посетителите на вашия сайт да имат директен достъп до враждебното съдържание (например чрез въвеждане на URL адреса в браузъра си), те все още могат да бъдат атакувани.
Ако можете, задайте съдържанието, което е в изолирана среда iframe като text / html-sandboxed MIME тип.
„Безпроблемният“ атрибут
The безшевни attribute е булев атрибут, който казва на браузъра да покаже iframe сякаш е част от основния документ. Ако искате вашето iframe за да се покаже безпроблемно, просто включете този атрибут в елемента:
Но правенето на iframe безпроблемното е нещо повече от външния вид, това е и начина, по който страницата взаимодейства с рамката. Някои съвети:
- Връзки в iframe ще се отвори в родителския прозорец, освен ако iframe на страницата има зададена цел "_SELF".
- CSS в iframe ще бъде добавен към каскадата на целия документ.
- Основният елемент на iframe страницата се счита за дете на iframe.
- Ширината и височината на iframe са настроени по начин, подобен на как други елементи на ниво блок ще бъде зададено.
- Когато родителският документ се преглежда от инструмент за рендиране като екранен четец, iframe ще се чете, без да се обявява като отделен документ.
Всички скриптове на родителския документ биха повлияли на iframe документ по същия начин. Например, ако скрипт изброи всички рамки на страницата, връзките в iframe също ще бъдат изброени.
С други думи, безшевни атрибут прави много повече от просто премахване на границите от iframe. Ако ще зададете iframe за да бъдете безпроблемни, трябва да сте много сигурни в съдържанието, така че да не добавяте никакъв риск за сигурността към уебсайта си чрез вграждане на злонамерен сайт.