The iframe elements iegriež citas tīmekļa lapas tieši pašreizējā lapā. HTML5 ievieš trīs jaunus šī elementa atribūtus, lai palīdzētu novērst HTML4 drošības un lietojamības problēmas iframe ieviešana.
“Smilškastes” atribūts
The smilšu kaste atribūts iframe elements ir noderīgs iframe drošības līdzeklis. Kad jūs to ievietojat iframe elementu, lietotāja aģents neatļauj funkcijas, kas vietnei un tās lietotājiem var radīt drošības risku.
Piemēram:
uzdod pārlūkprogrammai atteikt visas funkcijas, kas varētu apdraudēt drošību - tāpēc nav spraudņu, veidlapu, skriptu, izejošo saišu, cepumi, vietējā krātuve un piekļuve tās pašas vietnes lapām.
Pēc tam, izmantojot smilšu kaste atslēgvārda vērtības, atkārtoti iespējojiet dažas funkcijas. Šie atslēgvārdi ir:
- atļaut formas: Atļaut veidlapu iesniegšanu.
- atļaut-to pašu izcelsmi: Ļaujiet skriptiem piekļūt saturam, piemēram, sīkfailiem no tā paša izcelsmes domēna.
- atļaut-skriptus: Ļaujiet skriptiem darboties šajā IFRAME.
- ļaut-top-navigāciju: Ļaujiet iframe saitēm un skriptiem nokļūt mērķī "_top"
Neiestatiet abus atļaut-skriptus un atļaut-to pašu izcelsmi atslēgvārdi kopā vienā un tajā pašā iframe. Ja to izdarīsit, iegultā lapa pēc tam var noņemt smilšu kaste atceļot tā drošības priekšrocības.
Atribūts 'srcdoc'
The srcdoc atribūts dod tīmekļa dizaineram lielāku kontroli pār iframe, kā arī lielāku drošību. Tā vietā, lai izveidotu saiti uz citu vietni URL, tīmekļa dizainers ievieto HTML, kas jāparāda iframe iekšpusē srcdoc atribūts.
Ievietojot HTML, kas izveidots ar neuzticamu avotu, piemēram, veidlapu, iframe neuzticamo saturu varat ievietot smilškastē un joprojām to parādīt lapā. Emuāra komentāri ir piemērs. Lielākā daļa emuāru piedāvā tikai ierobežotu skaitu HTML tagu, kurus komentētāji var izmantot savos komentāros. Bet, ievietojot šos komentārus smilšu kastē iframe izmantojot srcdoc atribūts, komentāri var būt stingrāki, vienlaikus aizsargājot vietni kopumā.
Drošība un iframes
Iepriekš minētie divi atribūti nodrošina jūsu drošību iframe elementi, taču tie nav aizsardzība pret visām ļaunprātīgām vietnēm. Ja ļaunprātīgā vietne var pārliecināt jūsu vietnes apmeklētājus tieši piekļūt naidīgam saturam (piemēram, ierakstot URL savā pārlūkprogrammā), viņiem joprojām var uzbrukt.
Ja varat, iestatiet smilškastē esošo saturu iframe kā text / html-sandboxed MIME tips.
“Bezšuvju” atribūts
The bezšuvju atribūts ir būla atribūts, kas liek pārlūkprogrammai parādīt iframe it kā tā būtu daļa no vecāku dokumenta. Ja vēlaties savu iframe lai parādītu nevainojami, vienkārši iekļaujiet šo atribūtu elementā:
Bet padarot iframe bezšuvju ir vairāk nekā tikai izskats, tas ir arī tas, kā lapa mijiedarbojas ar rāmi. Daži padomi:
- Saites iframe tiks atvērts vecāku logā, ja vien iframe lapā ir iestatīts mērķis "_SELF".
- CSS iframe tiks pievienots visa dokumenta kaskādei.
- Saknes elements iframe lapa tiek uzskatīta par iframe.
- Platums un augstums iframe tiek iestatīti līdzīgi kā citi bloka līmeņa elementi tiktu noteikts.
- Kad vecāku dokumentu skata runas renderēšanas rīks, piemēram, ekrāna lasītājs, iframe tiks lasīts, nepaziņojot par atsevišķu dokumentu.
Visi skripti vecāku dokumentā ietekmēs iframe dokumentu tādā pašā veidā. Piemēram, ja skriptā ir norādīti visi lapas rāmji, saites iframe tiktu uzskaitīti arī.
Citiem vārdiem sakot, bezšuvju atribūts dara daudz vairāk nekā tikai noņem robežas no iframe. Ja jūs gatavojaties iestatīt iframe Lai jūs būtu bezšuvju, jums vajadzētu būt ļoti pārliecinātam par saturu, lai, ievietojot ļaunprātīgu vietni, jūsu vietne nepievienotu nekādu drošības risku.