ホームページ  >  記事  >  ウェブフロントエンド  >  iframe、話しましょう_html/css_WEB-ITnose

iframe、話しましょう_html/css_WEB-ITnose

WBOY
WBOYオリジナル
2016-06-21 08:56:021193ブラウズ

ある専門家は言いました: 「iframe は最もエネルギー消費の高い要素です。できるだけ使用しないようにしてください」

ある専門家は言いました: 「iframe のセキュリティ

なんてことだ、どれだけの子供たちの iframe を学ぶ熱意と決意があなたのせいで消え去ったか知っていますか? あなたの意見に反論することはできませんが、iframe の強力な機能を無視することはできません。 主要な電子メール Web サイトがまだ iframe を使用しているかどうかを確認できます。iframe がなくなる限り、私の心は決して死ぬことはありません。

iframe の基本的な意味

通常、iframe を使用して、ページ内で iframe タグを直接ネストし、src を指定します。

<iframe src="demo_iframe_sandbox.htm"></iframe> 

しかし、それを追求している私たちは、そのような低い iframe を望んでいません。

iframe常用属性:1.frameborder:是否显示边框,1(yes),0(no)2.height:框架作为一个普通元素的高度,建议在使用css设置。3.width:框架作为一个普通元素的宽度,建议使用css设置。4.name:框架的名称,window.frames[name]时专用的属性。5.scrolling:框架的是否滚动。yes,no,auto。6.src:内框架的地址,可以使页面地址,也可以是图片的地址。7.srcdoc , 用来替代原来HTML body里面的内容。但是IE不支持, 不过也没什么卵用8.sandbox: 对iframe进行一些列限制,IE10+支持

に他の属性を設定できるか見てみましょう。上記のタグの一部を以下に説明しますが、個別に説明するのは困難です。

私たちは通常、iframe のコンテンツと親フレーム (DOM) を自由に操作できるという iframe の最も基本的な機能を使用しますが、それがクロスドメインであることが前提条件となります。

では、同じドメインとは何ですか?

URL ヘッダーが以下に説明がありますが、ここではそれについてのみ言及します。

同じドメイン内の異なるドメインに関する問題:

A:<iframe id="mainIframe" name="mainIframe" src="/main.html" frameborder="0" scrolling="auto" ></iframe>B:<iframe id="mainIframe" name="mainIframe" src="http://www.baidu.com" frameborder="0" scrolling="auto" ></iframe>

A を使用する場合、同じドメインであるため、親ページが子ページを書き換えることができ、逆に。

異なるドメインで B を使用する場合、親ページにはサブページを変更する権限がありませんが、ページにジャンプすることはできます

ここで、メインページが表示されたときに簡単に始めましょう。ページと iframe が同じドメイン内にあるので、何かを実行できます。

iframe のコンテンツを取得します

主な 2 つの API は contentWindow と contentDocument

iframe.contentWindow、iframe のウィンドウ オブジェクトを取得します

iframe.contentDocument、iframe のドキュメント オブジェクトを取得します

これら 2 つの API は、DOM ノードによって提供されるメソッド (つまり、getELEment シリーズ オブジェクト)

 var iframe = document.getElementById("iframe1"); var iwindow = iframe.contentWindow; var idoc = iwindow.document;        console.log("window",iwindow);//获取iframe的window对象        console.log("document",idoc);  //获取iframe的document        console.log("html",idoc.documentElement);//获取iframe的html        console.log("head",idoc.head);  //获取head        console.log("body",idoc.body);  //获取body

実際の状況は次のとおりです。

もう 1 つの簡単な方法は、Name 属性を結合し、window によって提供されるフレームを通じて取得することです。 .frames['ifr1'] はウィンドウ オブジェクト、つまり

<iframe src ="/index.html" id="ifr1" name="ifr1" scrolling="yes">  <p>Your browser does not support iframes.</p></iframe><script type="text/javascript">    console.log(window.frames['ifr1'].window);console.dir(document.getElementById("ifr1").contentWindow);</script>

を返します。ウィンドウ オブジェクトを取得するためにどのメソッドを使用するかによって異なります。どちらでも問題ありませんが、私は 2 番目のメソッドを好みます。文字数が少なすぎるので、frames[xxx] を使用します。すると、iframe 内の DOM コンテンツを制御できます。

window.frames['ifr1']===window
iframe で親コンテンツを取得する

同様に、同じドメイン内で、親ページが子 iframe のコンテンツを取得し、子 iframe で親ページのコンテンツを操作することもできます。 iframe では、ウィンドウに実装されているいくつかの API を介して取得できます。

写真に示すように、これが栗です〜
window.parent 获取上一级的window对象,如果还是iframe则是该iframe的window对象window.top 获取最顶级容器的window对象,即,就是你打开页面的文档window.self 返回自身window的引用。可以理解 window===window.self(脑残)

取得したら完了です。その後、関連する操作を実行できるようになります。 同じドメイン内の iframe では、iframe のブラック テクノロジを巧みに使用して、いくつかのトリックを実装できます。

iframe ポーリング

昔、私たちはそう言いました。リクエストの非同期送信は、iframe を使用して実装されています~!

どのようにして可能ですか!!!

実際の履歴データ (Google で調べてください) によって証明されているように、ページにジャンプしないようにするためその際、フォーム送信時にiframeを使用して送信されます。最近では、WebSocket、SSE、Ajax などのフロントエンド開発が非常に高速になっています。信じられないほどのスキルの出現により、iframe は基本的に IE8 と 9 ブラウザーでのみ使用できるようになりました。 しかし、赤ちゃんはこれで iframe を理解する必要がなくなると考えていますが、現実は非常に残酷で、依然として IE8+ に対応する必要があります。したがって、iframe でロングポーリングとロングコネクションを実装するというテクニックにまだ手を加える必要があります。

iframe ロングポーリング

子供用の ajax を書いたことがあるなら、ロングポーリングは、ajax の readState = 4 のときに元の関数を再度実行することであることを知っているはずです。 ここで iframe を使用する場合も同様です。iframe を非同期的に作成し、バックエンドとネゴシエートして、バックエンド兄弟が返された情報を配置するのを確認してから、その情報を本体に直接配置します。

このようにして、ajax ロングポーリングの効果を実現できます。 もちろん、ここではリロードを使用して情報を送信するだけです。これらはすべて特定のシナリオに従って適用されます。また、js ファイルの非同期読み込みも iframe で実装できますが、iframe とホームページは接続プールを共有するため、今では基本的に XHR とハード コールバックで禁止されているため、紹介しません。ここでは多すぎる。

アダプティブ iframe ハニー広告
var iframeCon = docuemnt.querySelector('#container'),        text; //传递的信息    var iframe = document.createElement('iframe'),        iframe.id = "frame",        iframe.style = "display:none;",        iframe.name="polling",        iframe.src="target.html";    iframeCon.appendChild(iframe);    iframe.onload= function(){        var iloc = iframe.contentWindow.location,            idoc  = iframe.contentDocument;        setTimeout(function(){            text = idoc.getElementsByTagName('body')[0].textContent;            console.log(text);            iloca.reload(); //刷新页面,再次获取信息,并且会触发onload函数        },2000);    }

Web ページが収益を上げるために広告を導入するのは通常のことです。通常のアプローチは、iframe を使用し、広告アドレスを導入し、広告コンテンツに応じて対応する表示ボックスを設定することです。しかし、なぜ特定の div の下にネストするのではなく、iframe を使用して設定するのでしょうか?

要知道,广告是与原文无关的,这样硬编码进去,会造成网页布局的紊乱,而且,这样势必需要引入额外的css和js文件,极大的降低了网页的安全性。 这些所有的弊端,都可以使用iframe进行解决。

我们通常可以将iframe理解为一个沙盒,里面的内容能够被top window 完全控制,而且,主页的css样式是不会入侵iframe里面的样式,这些都给iframe的广告命运埋下伏笔。可以看一下各大站点是否都在某处放了些广告,以维持生计比如: W3School

但,默认情况下,iframe是不适合做展示信息的,所以我们需要对其进行decorate.

自适应iframe

默认情况下,iframe会自带滚动条,不会全屏.如果你想自适应iframe的话:第一步:去掉滚动条

<iframe src="./iframe1.html" id="iframe1" scrolling="no"></iframe>

第二步,设置iframe的高为body的高

var iwindow = iframe.contentWindow;var idoc = iwindow.document;iframe.height = idoc.body.offsetHeight;

另外,还可以添加其它的装饰属性:

属性 效果
allowtransparency true or false是否允许iframe设置为透明,默认为false
allowfullscreen true or false是否允许iframe全屏,默认为false

看个例子:

<iframe id="google_ads_frame2" name="google_ads_frame2" width="160" height="600" frameborder="0" src="target.html" marginwidth="0" marginheight="0" vspace="0" hspace="0" allowtransparency="true" scrolling="no" allowfullscreen="true"></iframe>

你可以直接写在内联里面,也可以在css里面定义,不过对于广告iframe来说,样式写在属性中,是best pratice.

iframe安全性探索

iframe出现安全性有两个方面,一个是你的网页被别人iframe,一个是你iframe别人的网页。 当你的网页被别人iframe时,比较蛋疼的是被钓鱼网站利用,然后victim+s留言逼逼你。真.简直了。 所以为了防止页面被一些 不法分子 利用,我们需要做好安全性措施。

防嵌套网页

比如,最出名的 clickhacking 就是使用iframe来 拦截click事件。因为iframe享有着click的最优先权,当有人在伪造的主页中进行点击的话,如果点在iframe上,则会默认是在操作iframe的页面。 所以,钓鱼网站就是使用这个技术,通过诱导用户进行点击,比如,设计一个”妹妹寂寞了”等之类的网页,诱导用户点击,但实际结果,你看到的不是”妹妹”,而是被恶意微博吸粉。

所以,为了防止网站被钓鱼,可以使用window.top来防止你的网页被iframe.

//iframe2.htmlif(window != window.top){    window.top.location.href = correctURL;}

这段代码的主要用途是限定你的网页不能嵌套在任意网页内。如果你想引用同域的框架的话,可以判断域名。

if (top.location.host != window.location.host) {  top.location.href = window.location.href;}

当然,如果你网页不同域名的话,上述就会报错。

所以,这里可以使用try…catch…进行错误捕获。如果发生错误,则说明不同域,表示你的页面被盗用了。可能有些浏览器这样写是不会报错,所以需要降级处理。

这时候再进行跳转即可.

try{  top.location.hostname;  //检测是否出错  //如果没有出错,则降级处理  if (top.location.hostname != window.location.hostname) {     top.location.href =window.location.href;  }}catch(e){  top.location.href = window.location.href;}

这只是浏览器端,对iframe页面的权限做出相关的设置。我们还可以在服务器上,对使用iframe的权限进行设置.

X-Frame-Options

X-Frame-Options是一个相应头,主要是描述服务器的网页资源的iframe权限。目前的支持度是IE8+(已经很好了啊喂)有3个选项:

DENY:当前页面不能被嵌套iframe里,即便是在相同域名的页面中嵌套也不允许,也不允许网页中有嵌套iframeSAMEORIGIN:iframe页面的地址只能为同源域名下的页面ALLOW-FROM:可以在指定的origin url的iframe中加载

简单实例:

X-Frame-Options: DENY拒绝任何iframe的嵌套请求X-Frame-Options: SAMEORIGIN只允许同源请求,例如网页为 foo.com/123.php,則 foo.com 底下的所有网页可以嵌入此网页,但是 foo.com 以外的网页不能嵌入X-Frame-Options: ALLOW-FROM http://s3131212.com只允许指定网页的iframe请求,不过兼容性较差Chrome不支持

X-Frame-Options其实就是将前端js对iframe的把控交给服务器来进行处理。

//jsif(window != window.top){    window.top.location.href = window.location.href;}//等价于X-Frame-Options: DENY//jsif (top.location.hostname != window.location.hostname) {     top.location.href =window.location.href;}//等价于X-Frame-Options: SAMEORIGIN

ok, 上面基本上就是防止自己页面被嵌套而做的一些安全防护工作。 当然,我们面临的安全问题还有一个,就是当iframe别人的页面时,我们需要对其进行安全设限,虽然,跨域时iframe的安全性会大很多,但是,互联网是没有安全的地方。在以前,我们会进行各种trick来防止自己的页面被污染,现在h5提供的一个新属性sandbox可以很好的解决这个问题。

sandbox

sandbox就是用来给指定iframe设置一个沙盒模型限制iframe的更多权限.

sandbox是h5的一个新属性,IE10+支持(md~).

启用方式就是使用sandbox属性:

<iframe sandbox src=”...”></iframe>

这样会对iframe页面进行一系列的限制:

  1. script脚本不能执行

  2. 不能发送ajax请求

  3. 不能使用本地存储,即localStorage,cookie等

  4. 不能创建新的弹窗和window

  5. 不能发送表单

  6. 不能加载额外插件比如flash等

    看到这里,我也是醉了。 好好的一个iframe,你这样是不是有点过分了。 不过,你可以放宽一点权限。在sandbox里面进行一些简单设置

<iframe sandbox=”allow-same-origin” src=”...”></iframe>

常用的配置项有:

配置 效果
allow-forms 允许进行提交表单
allow-scripts 运行执行脚本
allow-same-origin 允许同域请求,比如ajax,storage
allow-top-navigation 允许iframe自身能够进行页面跳转
allow-popups 允许iframe中弹出新窗口
allow-pointer-lock 在iframe中可以锁定鼠标,主要和 鼠标锁定 有关

可以通过在sandbox里,添加允许进行的权限.

<iframe sandbox=”allow-forms allow-same-origin allow-scripts” src=”...”></iframe>

这样,就可以保证js脚本的执行,但是禁止iframe里的javascript执行top.location = self.location。

哎,其实,iframe的安全问题还是超级有的。比如l ocation劫持,Refers检查 等。 不过目前而言,知道怎么简单的做一些安全措施就over了,白帽子们会帮我们测试的。

resolve iframe跨域

iframe就是一个隔离沙盒,相当于我们在一个页面内可以操控很多个标签页一样。如果踩坑的童鞋应该知道,iframe的解决跨域也是很有套套的。

首先我们需要明确什么是跨域。

浏览器判断你跨没跨域,主要根据两个点。 一个是你网页的协议(protocol),一个就是你的host是否相同,即,就是url的首部:

window.location.protocol +window.location.host

具体的例子就是:

需要强调的是,url首部必须一样,比如:二级域名或者IP地址,都算是跨域.

//域名和域名对应ip, 跨域http://www.a.com/a.jshttp://70.32.92.74/b.js//统一域名,不同二级域名。 跨域http://www.a.com/a.jshttp://a.com/b.js

对于第二种方式的跨域(主域相同而子域不同),可以使用iframe进行解决。

在两个不同子域下(某一方使用iframe嵌套在另一方),

即:

http: //www.foo.com/a.html和http: //script.foo.com/b.html

两个文件中分别加上document.domain = ‘foo.com’,指定相同的主域,然后,两个文档就可以进行交互。

//b.html是以iframe的形式嵌套在a.html中//www.foo.com上的a.htmldocument.domain = 'foo.com';var ifr = document.createElement('iframe');ifr.src = 'http://script.foo.com/b.html';ifr.style.display = 'none';document.body.appendChild(ifr);ifr.onload = function(){    var doc = ifr.contentDocument || ifr.contentWindow.document;    // 在这里操纵b.html    alert(doc.getElementsByTagName("h1")[0].childNodes[0].nodeValue);};//script.foo.com上的b.htmldocument.domain = 'foo.com';

默认情况下document.domain 是指window.location.hostname. 你可以手动更改,但是最多只能设置为主域名。 通常,主域名就是指不带www的hostname, 比如: foo.com , baidu.com 。 如果,带上www或者其他的前缀,就是二级域名或者多级域名。通过上述设置,相同的domain之后,就可以进行同域的相关操作。另外还可以使用iframe和location.hash,不过由于技术out了,这里就不做介绍了。

H5的CDM跨域与iframe

如果你设置的iframe的域名和你top window的域名完全不同。 则可以使用CDM(cross document messaging)进行跨域消息的传递。该API的兼容性较好 ie8+都支持.

发送消息: 使用postmessage方法

接受消息: 监听message事件

postmessage

该方法挂载到window对象上,即,使用window.postmessage()调用.

该方法接受两个参数:postMessage(message, targetOrigin):

message: 就是传递给iframe的内容, 通常是string,如果你想传object对象也可以。不过使用前请参考这一句话:

Objects listed in transfer are transferred, not just cloned, meaning that they are no longer usable on the sending side.

意思就是,希望亲爱的不要直接传Object。 如果有条件,可以使用是JSON.stringify进行转化。这样能保证不会出bug.

targetOrigin: 接受你传递消息的域名,可以设置绝对路径,也可以设置” “或者”/”。 表示任意域名都行,”/”表示只能传递给同域域名。

来个栗子:

<iframe src="http://tuhao.com" name="sendMessage"></iframe>//当前脚本let ifr = window.frames['sendMessage'];   //使用iframe的window向iframe发送message。ifr.postmessage('give u a message', "http://tuhao.com");//tuhao.com的脚本window.addEventListener('message', receiver, false);function receiver(e) {    if (e.origin == 'http://tuhao.com') {        if (e.data == 'give u a message') {            e.source.postMessage('received', e.origin);  //向原网页返回信息        } else {            alert(e.data);        }    }}

当targetOrigin接受到message消息之后,会触发message事件。 message提供的event对象上有3个重要的属性,data,origin,source.

data:postMessage传递进来的值origin:发送消息的文档所在的域source:发送消息文档的window对象的代理,如果是来自同一个域,则该对象就是window,可以使用其所有方法,如果是不同的域,则window只能调用postMessage()方法返回信息

属性的使用方法,如上头那个demo 说的。 很贴切, 很完美~

finally iframe

iframe的大概我们差不多了解了。 想说的是,iframe 在后面会越用越少的。但是应该是不会被w3c标准废除的。到是前端的发展,真尼玛太快了,每过一段时间,一个新工具,新技术的出现,好到是好,不过学的真心蛋疼。不过,我们要以一个大前端的姿态要求我们,md,现在不学,那什么时候学~

声明:
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。