精华内容
下载资源
问答
  • Iframe详解
    千次阅读
    2016-11-11 21:51:40

    Iframe详解

    1.什么是Iframe?

    iframe 元素会创建包含另外一个文档的内联框架(即行内框架)。

    2.Iframe的优缺点

    在使用任何一项技术之前我们都有必要对其特性进行深入了解,这有助于我们思考这项技术存在的价值,使我们可以将其使用在恰当的位置,扬长避短。

    Iframe的优点

    毫无疑问,使用Iframe我们站点中的代码将得以很大程度的精简。当然,不可回避的我们应当认识到使用Iframe我们将面临搜索引擎无法爬行抓取的局面,但这在特点场景也会成为优势,比如网站面对特定客户群体,并不希望大众浏览。

    Iframe的缺点

    正如上文所说,Iframe的致命缺陷是搜索引擎无法爬行抓取,试想我们精心设计的网站最终因为搜索引擎无法提供引流而鲜有人问津是不是有些悲剧呢。
    Iframe第二个缺点是缓存问题,这个问题往往被人忽视,但实际上他很致命,调试的时候经常会出现编辑器保存了,但是IFRAME里面的表单内容没有变,当然他也有解决办法,就是IFRAME的SRC属性的URL地址后面加一个随机数,每次刷新IFRAME就都是不同的URL,那么IFRAME就会去刷新了。

    Iframe的黑科技

    在某些特定场景下,我们面临这样的情况,我们需要对客户端的数据进行实时更新而并非等待客户端请求数据,这时我们需要一种技术长连接,而Iframe可以通过在 HTML 页面里嵌入一个隐蔵帧,然后将这个隐蔵帧的 SRC 属性设为对一个长连接的请求,实现服务器端源源不断地往客户端输入数据。

    3.Iframe的使用场景

    结合其特性,我们得出如下结论,Iframe适合于在不需要爬虫抓取数据的网站,而通常情况下后台管理系统是一个很好的选择,结构清晰且不会被网络爬虫所抓取,一拍即合。

    更多相关内容
  • iframe详解

    2018-01-19 15:17:41
    iframe的使用场景:a>通过iframe实现跨域;b>使用iframe解决IE6下select遮挡不住的问题c>通过iframe解决Ajax的前进后退问题d>通过iframe实现异步上传。(Easyui中form组件就是用的iframe,实现表单提交时,可以提交...

    iframe的使用场景:
    a>通过iframe实现跨域;
    b>使用iframe解决IE6下select遮挡不住的问题
    c>通过iframe解决Ajax的前进后退问题
    d>通过iframe实现异步上传。(Easyui中form组件就是用的iframe,实现表单提交时,可以提交上传域)

    1、iframe基本知识:

    iframe 元素会创建包含另外一个文档的内联框架(即行内框架)。
    在 HTML 4.1 Strict DTD 和 XHTML 1.0 Strict DTD 中,不支持 iframe 元素。
    提示:您可以把需要的文本放置在 <iframe> 和 </iframe> 之间,这样就可以应对无法理解 iframe 的浏览器。
    <iframe width=420 height=330 frameborder=0 scrolling=auto src="URL"></iframe>

    可选属性:

    标准属性:

    2、操作iframe:

          注:测试环境IE:8.0,FF:23.0.1  
          a>隐藏iframe表框  
            i>标签中设置:frameborder="0",<iframe frameborder="0" width="400" height="400" src="http://blog.csdn.net/cuew1987" scrolling="no"></iframe>  
            ii>DOM操作:  
                <body>  
                <iframe frameborder="1" width="400" height="400" src="http://blog.csdn.net/cuew1987" scrolling="no" id="myiframe"></iframe>  
                <script>  
                var myiframe = document.getElementById("myiframe");  
                myiframe.style.border="none";//FF下有效,IE下无效   
                myiframe.setAttribute("frameborder",0);//FF下有效,IE下无效   
                myiframe.frameBorder = 0;//FF下有效,IE下无效   
                </script>  
                </body>  
          b>动态创建iframe  
          <script>  
            var newFrame = document.createElement("iframe");  
            newFrame.src ="http://blog.csdn.net/cuew1987";  
            newFrame.frameBorder = 0;//FF、IE隐藏边框有效  
            newFrame.width = "400px";  
            newFrame.height = "400px";  
            newFrame.scrolling = "no";  
            document.body.appendChild(newFrame);  
          </script>  
          c>获取iframe  
            i>var obj = document.getElementById("iframeID");  
              获取iframe对象,可直接操作iframe标签属性,如只想改变iframe的 src 或者 border ,scrolling 等attributes  
            ii>var dom = frames["iframeName"];  
               获取iframe的DOM对象,此对象可用来操作对象,比如想操作iframe页面中的元素。  
           d>获取iframe中的window对象  
            function getIframeWindow(obj) {  
                //IE || w3c  
                return obj.contentWindow || obj.contentDocument.parentWindow;  
                //parentWindow 是 parent window object  
            }  
            document.getElementById取到的iframe是不能直接操作里面的document的,只能这样取:  
            IE:frames[id].document或obj.contentWindow.document;  
            FF:dom.contentDocument或obj.contentDocument;不绑定任何事件.  
        e>获取iframe页面高度  
            function getIframeHeight(obj){  
                var idoc = getIframeWindow(obj).document;   
                if(idoc.body){  
                    return Math.max(idoc.body.scrollHeight,idoc.body.offsetHeight);     
                }else if(idoc.documentElement){  
                    return Math.max(idoc.documentElement.scrollHeight,idoc.documentElement.offsetHeight);     
                }  
            }  
        f>父子页面互访  
            i>子访问父:  
                parent.html:  
                <body>  
                    <div>等到的信息:<div id="msg"></div></div>  
                    <iframe frameborder="1" width="400" height="400" src="son.html" scrolling="no" id="myiframe"></iframe>  
                </body>  
                son.html:  
                <body>  
                <input type="button" onClick="setMsg()" value="setMsg">  
                <script>  
                function setMsg(){  
                    var msg = window.parent.document.getElementById("msg");  
                    msg.innerHTML= "Hello world!!";  
                }  
                </script>  
                </body>  
            ii>父访问子:  
                parent.html:  
                <body>  
                <div>等到的信息:<div id="setMsg"></div></div>  
                <input type="button" value="setMsg" onClick="setMsg()"><br>  
                <iframe frameborder="1" width="400" height="400" src="son.html" scrolling="no" id="myiframe"></iframe>  
                <script type="text/javascript">  
                function setMsg(){  
                    var obj = document.getElementById("myiframe");  
                    var msg = getIframeWindow(obj).document.getElementById("msg");  
                    document.getElementById("setMsg").innerHTML = msg.innerHTML;  
                }  
                </script>  
                </body>  
                son.html:  
                <body>  
                <div id="msg">Hello world!!!</div>  
                </body>  

    3.iframe高度自适应和跨域:

        实际使用iframe中,会遇到iframe高度的问题,由于被嵌套的页面长度不固定而显示出来的滚动条,不仅影响美观,还会对用户操作带来不便  
            a>同域下的高度自适应  
            parent.html:  
            <body>  
            <iframe width="400" id="myiframe" οnlοad="setHeight()" height="1" frameborder="0" src="son.html"></iframe>  
            <script type="text/javascript">    
            function getIframeWindow(obj) {  
                return obj.contentWindow || obj.contentDocument.parentWindow;  
            }  
            function getIframeHeight(obj){  
                var idoc = getIframeWindow(obj).document;   
                if(idoc.body){  
                    return Math.max(idoc.body.scrollHeight,idoc.body.offsetHeight);     
                }else if(idoc.documentElement){  
                    return Math.max(idoc.documentElement.scrollHeight,idoc.documentElement.offsetHeight);     
                }  
            }  
            function setHeight(){     
                var myiframe = document.getElementById("myiframe");  
                myiframe.height = getIframeHeight(myiframe);  
            }   
            </script>   
            </body>  
            另:document.documentElement与document.body相关说明(W3C DOM2.0规范)  
            document.doucmentElement:  
                documentElement of type Element, readonly,This is a convenience attribute that allows direct access to the   
                child node that is the root element of the document. For HTML documents, this is the element with the tagName "HTML".  
            document.body:  
                document.body is the element that contains the content for the document. In documents with <body> contents, returns the <body> element,   
                and in frameset documents, this returns the outermost <frameset> element.  
                Though body is settable, setting a new body on a document will effectively remove all the current children of the existing <body> element.  
            IE在怪异模型(Quicks Mode)下document.documentElement无法正确取到clietHeight scrollHeight等值,比如clientHeight=0。  
            获取scrollTop:  
            var sTop=Math.max(  
                (document.body?document.body.scrollTop:0),  
                (document.documentElement?document.documentElement.scrollTop:0),  
                (window.pageYOffset?window.pageYOffset:0)  
            );      
          
            b>跨域下高度自适应  
            页面:  
            index.html:(http://www.csdn.net)  
            <iframe width="400" id="myiframe" οnlοad="setHeight()" height="1" frameborder="0" src="son.html"></iframe>  
            son.html:  
            <body >  
            <iframe id="agentIframe" style="position:absolute; top:-10000;left:-1000;" height="10" width="100%"></iframe>  
            </body>  
            <script>  
                function getHeight(){  
                    var idoc = document;   
                    if(idoc.body){  
                        return Math.max(idoc.body.scrollHeight,idoc.body.offsetHeight);     
                    }else if(idoc.documentElement){  
                        return Math.max(idoc.documentElement.scrollHeight,idoc.documentElement.offsetHeight);     
                    }  
                }  
                window.onload = function(){  
                    var h = getHeight();  
                    document.getElementById("agentIframe").src="http://www.csdn.net#"+h;  
                }  
            </script>  
            agent.html:(http://www.csdn.net)  
            <script>  
            (function(){  
                var con = parent.parent.document.getElementById('frame_content');       
                var href = parent.parent.frames["frame_content"].frames["iframeC"].location.hash;        
                con.style.height = href.split("#")[1]+"px";  
            })();  
            </script>  

    4.iframe背景透明:

    在ie6/7/8下引入iframe的时候,它的背景默认是白色,即使设置了style=”background-color:transparent;”也无效,
    但是其他浏览器(firefox,chrome,opera,ie9)都正常显示,要解决这个兼容性问题,必须用到一个属性。
    下面来看看现象:

        index.html:  
        <body style="background-color:#00f;">  
        <iframe frameborder="0" height="200" width="200"  src="son.html" scrolling="yes" id="myiframe"   
        style="background-color:transparent;"></iframe>  
        </body>  


    结果如下图:(FF中有滚动条是因为在index.html中设置了有滚动条)

    解决:
    给iframe设置属性:allowTransparency=”true” //设置为true允许透明

        <body style="background-color:#00f;">  
        <iframe allowTransparency="true" frameborder="0" height="200" width="200"  src="son.html"   
        scrolling="yes" id="myiframe"></iframe>  
        </body>  
    备注:iframe不设置此属性时,可使用iframe解决在IE6、7环境中遮住select

    5.判断页面中是否有iframe:

        a>首先来看看window.frameElement这个属性。  
            返回嵌入当前window对象的元素(比如 <iframe> 或者 <object>),即为包含本页面的iframe或frame对象。如果当前window对象已经是顶层窗口,则返回null.  
            看看一个例子:  
            parent.html:  
            <body>  
            <iframe frameborder="1" width="400" height="400" src="son.html" scrolling="no" id="myiframe"></iframe>  
            </body>  
            son.html:(注意frameElement用在son.html中,如果用在parent.html中,则返回null)  
            <body>  
            <div id="msg">Hello world!!!</div>  
            <script type="text/javascript">  
                var iframe = window.frameElement;  
                if(iframe){  
                    iframe.src = "http://blog.csdn.net/cuew1987";  
                }  
            </script>  
            </body>  
            备注:虽然该属性名为frameElement,但该属性也会返回其他类型比如 <object> 或者其他可嵌入窗口的元素.  
        b>兼容性如下图:  


        c>定义函数:  
            i>判断父页面中是否含有iframe  
            function hasIframe(){  
                return document.getElementsByTagName("iframe").length > 0;  
            }  
            ii>判断某个页面是否在iframe标签中  
            function innerIframe(){  
                var iframe = window.frameElement;  
                if(iframe){  
                    return typeof iframe !== "undefined";  
                }  
            }  

    6、HTML5中iframe:

    HTML 4.01 与 HTML 5 之间的差异在 HTML 5 中,仅仅支持 src 属性
    <iframe src="/index.html"></iframe>
    HTML5中全局属性:

    7、easyui中form组件提交(包括上传域):

        function submitForm(target, options) {  
            options = options || {};  
            if (options.onSubmit) {  
                if (options.onSubmit.call(target) == false) {  
                    return;  
                }  
            }  
            var form = $(target);  
            if (options.url) {  
                form.attr("action", options.url);  
            }  
            var frameId = "easyui_frame_" + (new Date().getTime());  
            var frame = $("<iframe id=" + frameId + " name=" + frameId + "></iframe>").attr(  
                    "src",  
                    window.ActiveXObject ? "javascript:false" : "about:blank").css(  
                    {  
                        position : "absolute",  
                        top : -1000,  
                        left : -1000  
                    });  
            var t = form.attr("target"), a = form.attr("action");  
            form.attr("target", frameId);//在iframe中提交表单  
            try {  
                frame.appendTo("body");  
                frame.bind("load", cb);  
                form[0].submit();  
            } finally {  
                form.attr("action", a);  
                t ? form.attr("target", t) : form.removeAttr("target");  
            }  
            var checkCount = 10;  
            function cb() {  
                frame.unbind();  
                var body = $("#" + frameId).contents().find("body");  
                //contents()查找匹配元素内部所有的子节点(包括文本节点)。如果元素是一个iframe,则查找文档内容  
                var data = body.html();  
                if (data == "") {  
                    if (--checkCount) {  
                        setTimeout(cb, 100);  
                        return;  
                    }  
                    return;  
                }  
                var ta = body.find(">textarea");  
                if (ta.length) {  
                    data = ta.val();  
                } else {  
                    var pre = body.find(">pre");  
                    if (pre.length) {  
                        data = pre.html();  
                    }  
                }  
                if (options.success) {  
                    options.success(data);  
                }  
                setTimeout(function() {  
                    frame.unbind();  
                    frame.remove();  
                }, 100);  
            };  
        };  
        另:form 的target属性:  
        a>HTML4中:  
        定义和用法:target 属性规定在何处打开 action URL。  
        兼容性:在 HTML 4.01 中,不赞成使用 form 元素的 target 属性;在 XHTML 1.0 Strict DTD 中,不支持该属性。  
        属性值:  
        _blank 新窗口中打开  
        _self  默认,在相同的框架中打开  
        _parent 父框架中打开  
        _top    整个窗口中打开  
        framename  指定的frame name属性值的框架中打开  
          
        b>HTML5中:  
        HTML 4.01 与 HTML 5 之间的差异  
        在 HTML5 中 target 属性不再是被废弃的属性。不再支持 frame 和 frameset。  
        现在,parent, top 和 framename 值大多用于 iframe。  







    展开全文
  • Web前端之iframe详解

    万次阅读 多人点赞 2019-08-13 12:12:15
    在实现前端页面的时候遇到很多问题,开发进度很慢,实现一个功能基本上都是在走弯路,也不知道如何实现才是最好的选择,所以就一直在爬坑,在实现一个页面数据编辑的功能的时候就需要使用一个iframe内联框架,但是...

    最近在做项目,在实现前端页面的时候遇到很多问题,开发进度很慢,实现一个功能基本上都是在走弯路,也不知道如何实现才是最好的选择,所以就一直在爬坑,在实现一个页面数据编辑的功能的时候就需要使用一个iframe内联框架,但是不会,在网上找了后觉得这篇文章是最全面的,所以就将其记录下来。

    目录

    iframe基本内涵

    获取iframe里的内容

    在iframe中获取父级内容

    iframe的轮询

    iframe长轮询

    自适应iframe之蜜汁广告

    自适应iframe

    iframe安全性探索

    防嵌套网页

    X-Frame-Options

    CSP之页面防护

    sandbox

    resolve iframe跨域

    H5的CDM跨域与iframe

    postmessage


    iframe基本内涵

    通常我们使用iframe直接直接在页面嵌套iframe标签指定src就可以了。

     <iframe src="demo_iframe_sandbox.htm"></iframe>

    但是,有追求的我们,并不是想要这么low的iframe. 我们来看看在iframe中还可以设置些什么属性

     iframe常用属性:
    1.frameborder:是否显示边框,1(yes),0(no)
    2.height:框架作为一个普通元素的高度,建议在使用css设置。
    3.width:框架作为一个普通元素的宽度,建议使用css设置。
    4.name:框架的名称,window.frames[name]时专用的属性。
    5.scrolling:框架的是否滚动。yes,no,auto。
    6.src:内框架的地址,可以使页面地址,也可以是图片的地址。
    7.srcdoc , 用来替代原来HTML body里面的内容。但是IE不支持, 不过也没什么卵用
    8.sandbox: 对iframe进行一些列限制,IE10+支持
     

    上面一些tag,会在下文进行穿插说明,单个不好说。
    我们通常使用iframe最基本的特性,就是能自由操作iframe和父框架的内容(DOM). 但前提条件是同域. 如果跨域顶多只能实现页面跳转window.location.href.
    那什么是同域/ 什么是跨域呢?
    就是判断你的url首部是否一样,下面会有讲解,这里只是提及。
    同域不同域的问题:

    A:<iframe id="mainIframe" name="mainIframe" src="/main.html" frameborder="0" scrolling="auto" ></iframe>
    B:<iframe id="mainIframe" name="mainIframe" src="http://www.baidu.com" frameborder="0" scrolling="auto" ></iframe>

    使用A时,因为同域,父页面可以对子页面进行改写,反之亦然。
    使用B时,不同域,父页面没有权限改动子页面,但可以实现页面的跳转
    这里,我们先从简单的开始,当主页面和iframe同域时,我们可以干些什么。

    获取iframe里的内容

    主要的两个API就是contentWindow,和contentDocument
    iframe.contentWindow, 获取iframe的window对象
    iframe.contentDocument, 获取iframe的document对象
    这两个API只是DOM节点提供的方式(即getELement系列对象)

    var iframe = document.getElementById("iframe1");
    var iwindow = iframe.contentWindow;
    var idoc = iwindow.document;
           console.log("window",iwindow);//获取iframe的window对象
           console.log("document",idoc);  //获取iframe的document
           console.log("html",idoc.documentElement);//获取iframe的html
           console.log("head",idoc.head);  //获取head
           console.log("body",idoc.body);  //获取body

    另外更简单的方式是,结合Name属性,通过window提供的frames获取.

     <iframe src ="/index.html" id="ifr1" name="ifr1" scrolling="yes">
      <p>Your browser does not support iframes.</p>
    </iframe>
    <script type="text/javascript">
        console.log(window.frames['ifr1'].window);
    console.dir(document.getElementById("ifr1").contentWindow);
    </script>

    其实window.frames['ifr1']返回的就是window对象,即

     window.frames['ifr1']===window
    这里就看你想用哪一种方式获取window对象,两者都行,不过本人更倾向于第二种使用frames[xxx].因为,字母少啊喂~ 然后,你就可以操控iframe里面的DOM内容。

    在iframe中获取父级内容

    同理,在同域下,父页面可以获取子iframe的内容,那么子iframe同样也能操作父页面内容。在iframe中,可以通过在window上挂载的几个API进行获取.

    window.parent 获取上一级的window对象,如果还是iframe则是该iframe的window对象
    window.top 获取最顶级容器的window对象,即,就是你打开页面的文档
    window.self 返回自身window的引用。可以理解 window===window.self(脑残)


    iframe的轮询

    话说在很久很久以前,我们实现异步发送请求是使用iframe实现的~!
    怎么可能!!!
    真的史料为证(自行google), 那时候为了不跳转页面,提交表单时是使用iframe提交的。现在,前端发展尼玛真快,websocket,SSE,ajax等,逆天skill的出现,颠覆了iframe, 现在基本上只能活在IE8,9的浏览器内了。 但是,宝宝以为这样就可以不用了解iframe了,而现实就是这么残酷,我们目前还需要兼容IE8+。所以,iframe 实现长轮询和长连接的trick 我们还是需要涉猎滴。

    iframe长轮询

    如果写过ajax的童鞋,应该知道,长轮询就是在ajax的readyState = 4的时,再次执行原函数即可。 这里使用iframe也是一样,异步创建iframe,然后reload, 和后台协商好, 看后台哥哥们将返回的信息放在,然后获取里面信息即可. 这里是直接放在body里.

     var iframeCon = docuemnt.querySelector('#container'),
            text; //传递的信息
        var iframe = document.createElement('iframe'),
            iframe.id = "frame",
            iframe.style = "display:none;",
            iframe.name="polling",
            iframe.src="target.html";
        iframeCon.appendChild(iframe);
        iframe.οnlοad= function(){
            var iloc = iframe.contentWindow.location,
                idoc  = iframe.contentDocument;
            setTimeout(function(){
                text = idoc.getElementsByTagName('body')[0].textContent;
                console.log(text);
                iloc.reload(); //刷新页面,再次获取信息,并且会触发onload函数
            },2000);
        }

    这样就可以实现ajax的长轮询的效果。 当然,这里只是使用reload进行获取,你也可以添加iframe和删除iframe的方式,进行发送信息,这些都是根据具体场景应用的。另外在iframe中还可以实现异步加载js文件,不过,iframe和主页是共享连接池的,所以还是很蛋疼的,现在基本上都被XHR和hard calllback取缔了,这里也不过多介绍了。

    自适应iframe之蜜汁广告

    网页为了赚钱,引入广告是很正常的事了。通常的做法就是使用iframe,引入广告地址就可以了,然后根据广告内容设置相应的显示框。但是,为什么是使用iframe来进行设置,而不是在某个div下嵌套就行了呢?
    要知道,广告是与原文无关的,这样硬编码进去,会造成网页布局的紊乱,而且,这样势必需要引入额外的css和js文件,极大的降低了网页的安全性。 这些所有的弊端,都可以使用iframe进行解决。 
    我们通常可以将iframe理解为一个沙盒,里面的内容能够被top window 完全控制,而且,主页的css样式是不会入侵iframe里面的样式,这些都给iframe的广告命运埋下伏笔。可以看一下各大站点是否都在某处放了些广告,以维持生计比如:W3School
    但,默认情况下,iframe是不适合做展示信息的,所以我们需要对其进行decorate.

    自适应iframe

    默认情况下,iframe会自带滚动条,不会全屏.如果你想自适应iframe的话:第一步:去掉滚动条

     <iframe src="./iframe1.html" id="iframe1" scrolling="no"></iframe>

    第二步,设置iframe的高为body的高

    var iwindow = iframe.contentWindow;
    var idoc = iwindow.document;
    iframe.height = idoc.body.offsetHeight;


    另外,还可以添加其它的装饰属性:

    属性效果
    allowtransparency true or false
    是否允许iframe设置为透明,默认为false
    allowfullscreen true or false
    是否允许iframe全屏,默认为false

    看个例子:

    <iframe id="google_ads_frame2" name="google_ads_frame2" width="160" height="600" frameborder="0" src="target.html" marginwidth="0" marginheight="0" vspace="0" hspace="0" allowtransparency="true" scrolling="no" allowfullscreen="true"></iframe>


    你可以直接写在内联里面,也可以在css里面定义,不过对于广告iframe来说,样式写在属性中,是best pratice.

    iframe安全性探索

    iframe出现安全性有两个方面,一个是你的网页被别人iframe,一个是你iframe别人的网页。 当你的网页被别人iframe时,比较蛋疼的是被钓鱼网站利用,然后victim+s留言逼逼你。真.简直了。 所以为了防止页面被一些不法分子利用,我们需要做好安全性措施。

    防嵌套网页

    比如,最出名的clickhacking就是使用iframe来 拦截click事件。因为iframe享有着click的最优先权,当有人在伪造的主页中进行点击的话,如果点在iframe上,则会默认是在操作iframe的页面。 所以,钓鱼网站就是使用这个技术,通过诱导用户进行点击,比如,设计一个"妹妹寂寞了"等之类的网页,诱导用户点击,但实际结果,你看到的不是"妹妹",而是被恶意微博吸粉。 
    所以,为了防止网站被钓鱼,可以使用window.top来防止你的网页被iframe.

     //iframe2.html
    if(window != window.top){
        window.top.location.href = correctURL;
    }

    这段代码的主要用途是限定你的网页不能嵌套在任意网页内。如果你想引用同域的框架的话,可以判断域名。

     if (top.location.host != window.location.host) {
      top.location.href = window.location.href;
    }

    当然,如果你网页不同域名的话,上述就会报错。
    所以,这里可以使用try...catch...进行错误捕获。如果发生错误,则说明不同域,表示你的页面被盗用了。可能有些浏览器这样写是不会报错,所以需要降级处理。
    这时候再进行跳转即可.

     try{
      top.location.hostname;  //检测是否出错
      //如果没有出错,则降级处理
      if (top.location.hostname != window.location.hostname) { 
        top.location.href =window.location.href;
      }
    }
    catch(e){
      top.location.href = window.location.href;
    }

    这只是浏览器端,对iframe页面的权限做出相关的设置。 我们还可以在服务器上,对使用iframe的权限进行设置.

    X-Frame-Options

    X-Frame-Options是一个相应头,主要是描述服务器的网页资源的iframe权限。目前的支持度是IE8+(已经很好了啊喂)有3个选项:

    DENY:当前页面不能被嵌套iframe里,即便是在相同域名的页面中嵌套也不允许,也不允许网页中有嵌套iframe
    SAMEORIGIN:iframe页面的地址只能为同源域名下的页面
    ALLOW-FROM:可以在指定的origin url的iframe中加载
    X-Frame-Options: DENY
    拒绝任何iframe的嵌套请求
    X-Frame-Options: SAMEORIGIN
    只允许同源请求,例如网页为 foo.com/123.php,則 foo.com 底下的所有网页可以嵌入此网页,但是 foo.com 以外的网页不能嵌入
    X-Frame-Options: ALLOW-FROM http://s3131212.com
    只允许指定网页的iframe请求,不过兼容性较差Chrome不支持
    X-Frame-Options其实就是将前端js对iframe的把控交给服务器来进行处理。

     //js
    if(window != window.top){
        window.top.location.href = window.location.href;
    }
    //等价于
    X-Frame-Options: DENY
    //js
    if (top.location.hostname != window.location.hostname) { 
        top.location.href =window.location.href;
    }
    //等价于
    X-Frame-Options: SAMEORIGIN

    该属性是对页面的iframe进行一个主要限制,不过,涉及iframe的header可不止这一个,另外还有一个Content Security Policy, 他同样也可以对iframe进行限制,而且,他应该是以后网页安全防护的主流。

    CSP之页面防护

    和X-Frames-Options一样,都需要在服务器端设置好相关的Header. CSP 的作用, 真的是太大了,他能够极大的防止你的页面被XSS攻击,而且可以制定js,css,img等相关资源的origin,防止被恶意注入。不过他的兼容性,也是渣的一逼。目前支持Edge12+ 以及 IE10+。 
    而且目前市面上,流行的是3种CSP头,以及各种浏览器的兼容性
     

    使用主要是在后端服务器上配置,在前端,我们可以观察Response Header 里是否有这样的一个Header:

     Content-Security-Policy: default-src 'self'
    这就表明,你的网页是启用CSP的。通常我们可以在CSP后配置各种指定资源路径,有

     default-src,
    script-src,
    style-src,
    img-src,
    connect-src,
    font-src,
    object-src,
    media-src,
    sandbox,
    child-src,
    ...

    如果你未指定的话,则是使用default-src规定的加载策略.
    默认配置就是同域: default-src "self".
    这里和iframe有一点瓜葛的就是 child-src 和 sandbox.
    child-src就是用来指定iframe的有效加载路径。其实和X-Frame-Options中配置allow-origin是一个道理。不过,allow-origin 没有得到厂商们的支持。
    而,sandbox其实就和iframe的sandbox属性(下文介绍),是一样一样的,他可以规定来源能够带有什么权限.
    来个demo:

    Content-Security-Policy: child-src 'self' http://example.com; sandbox allow-forms allow-same-origin

    此时,iframe的src就只能加载同域和example.com页面。 最后再补充一点: 使用CSP 能够很好的防止XSS攻击,原理就是CSP会默认escape掉内联样式和脚本,以及eval执行。但是,你可以使用srcipt-src进行降低限制.

     Content-Security-Policy: script-src 'unsafe-inline'

    如果想更深入的了解CSP,可以参阅:CSP,中文CSP,H5rock之CSP
    ok, 上面基本上就是防止自己页面被嵌套而做的一些安全防护工作。 当然,我们面临的安全问题还有一个,就是当iframe别人的页面时,我们需要对其进行安全设限,虽然,跨域时iframe的安全性会大很多,但是,互联网是没有安全的地方。在以前,我们会进行各种trick来防止自己的页面被污染,现在h5提供的一个新属性sandbox可以很好的解决这个问题。

    sandbox

    sandbox就是用来给指定iframe设置一个沙盒模型限制iframe的更多权限.
    sandbox是h5的一个新属性,IE10+支持(md~).
    启用方式就是使用sandbox属性:

     <iframe sandbox src="..."></iframe>


    这样会对iframe页面进行一系列的限制:

    1. script脚本不能执行
    2. 不能发送ajax请求
    3. 不能使用本地存储,即localStorage,cookie等
    4. 不能创建新的弹窗和window
    5. 不能发送表单
    6. 不能加载额外插件比如flash等

    看到这里,我也是醉了。 好好的一个iframe,你这样是不是有点过分了。 不过,你可以放宽一点权限。在sandbox里面进行一些简单设置

    <iframe sandbox="allow-same-origin" src="..."></iframe>

    常用的配置项有:

    配置  效果
    allow-forms允许进行提交表单
    allow-scripts  运行执行脚本
    allow-same-origin 允许同域请求,比如ajax,storage
    allow-top-navigation允许iframe能够主导window.top进行页面跳转
    allow-popups允许iframe中弹出新窗口,比如,window.open,target="_blank"
    allow-pointer-lock 在iframe中可以锁定鼠标,主要和鼠标锁定有关


    可以通过在sandbox里,添加允许进行的权限.

    <iframe sandbox="allow-forms allow-same-origin allow-scripts" src="..."></iframe>

    这样,就可以保证js脚本的执行,但是禁止iframe里的javascript执行top.location = self.location。
    哎,其实,iframe的安全问题还是超级有的。比如location劫持,Refers检查等。 不过目前而言,知道怎么简单的做一些安全措施就over了,白帽子们会帮我们测试的。

    resolve iframe跨域

    iframe就是一个隔离沙盒,相当于我们在一个页面内可以操控很多个标签页一样。如果踩坑的童鞋应该知道,iframe的解决跨域也是很有套套的。
    首先我们需要明确什么是跨域。
    浏览器判断你跨没跨域,主要根据两个点。 一个是你网页的协议(protocol),一个就是你的host是否相同,即,就是url的首部:

     window.location.protocol +window.location.host
    需要强调的是,url首部必须一样,比如:二级域名或者IP地址,都算是跨域.

     //域名和域名对应ip, 跨域
    http://www.a.com/a.js
    http://70.32.92.74/b.js
    //统一域名,不同二级域名。 跨域
    http://www.a.com/a.js
    http://a.com/b.js

    对于第二种方式的跨域(主域相同而子域不同),可以使用iframe进行解决。
    在两个不同子域下(某一方使用iframe嵌套在另一方),
    即:
    http: //www.foo.com/a.html和http: //script.foo.com/b.html
    两个文件中分别加上document.domain = ‘foo.com’,指定相同的主域,然后,两个文档就可以进行交互。
     

    //b.html是以iframe的形式嵌套在a.html中
    //www.foo.com上的a.html
    document.domain = 'foo.com';
    var ifr = document.createElement('iframe');
    ifr.src = 'http://script.foo.com/b.html';
    ifr.style.display = 'none';
    document.body.appendChild(ifr);
    ifr.onload = function(){
        var doc = ifr.contentDocument || ifr.contentWindow.document;
        // 在这里操纵b.html
        alert(doc.getElementsByTagName("h1")[0].childNodes[0].nodeValue);
    };
    //script.foo.com上的b.html
    document.domain = 'foo.com';

    默认情况下document.domain 是指window.location.hostname. 你可以手动更改,但是最多只能设置为主域名。 通常,主域名就是指不带www的hostname, 比如: foo.com , baidu.com 。 如果,带上www或者其他的前缀,就是二级域名或者多级域名。通过上述设置,相同的domain之后,就可以进行同域的相关操作。另外还可以使用iframe和location.hash,不过由于技术out了,这里就不做介绍了。

    H5的CDM跨域与iframe

    如果你设置的iframe的域名和你top window的域名完全不同。 则可以使用CDM(cross document messaging)进行跨域消息的传递。该API的兼容性较好 ie8+都支持.
    发送消息: 使用postmessage方法
    接受消息: 监听message事件

    postmessage

    该方法挂载到window对象上,即,使用window.postmessage()调用.
    该方法接受两个参数:postMessage(message, targetOrigin):
    message: 就是传递给iframe的内容, 通常是string,如果你想传object对象也可以。不过使用前请参考这一句话:

    Objects listed in transfer are transferred, not just cloned, meaning that they are no longer usable on the sending side.
    意思就是,希望亲爱的不要直接传Object。 如果有条件,可以使用是JSON.stringify进行转化。这样能保证不会出bug.
    targetOrigin: 接受你传递消息的域名,可以设置绝对路径,也可以设置""或者"/"。 表示任意域名都行,"/"表示只能传递给同域域名。

    来个栗子:

     <iframe src="http://tuhao.com" name="sendMessage"></iframe>
    //当前脚本
    let ifr = window.frames['sendMessage'];
       //使用iframe的window向iframe发送message。
    ifr.postmessage('give u a message', "http://tuhao.com");
    //tuhao.com的脚本
    window.addEventListener('message', receiver, false);
    function receiver(e) {
        if (e.origin == 'http://tuhao.com') {
            if (e.data == 'give u a message') {
                e.source.postMessage('received', e.origin);  //向原网页返回信息
            } else {
                alert(e.data);
            }
        }
    }

     

    当targetOrigin接受到message消息之后,会触发message事件。 message提供的event对象上有3个重要的属性,data,origin,source.

     data:postMessage传递进来的值
    origin:发送消息的文档所在的域
    source:发送消息文档的window对象的代理,如果是来自同一个域,则该对象就是window,可以使用其所有方法,如果是不同的域,则window只能调用postMessage()方法返回信息
     

    展开全文
  • Web 前端学习 之iframe详解 介绍 iframe相当于一个页内的页面,可以结合超链接实现页内跳转等等操作, 看个图就知道了 使用流程如下 在iframe标签中使用name属性定义一个名称 在a标签的target属性上设置iframe的name...

    Web 前端学习 之iframe详解

    介绍

    iframe相当于一个页内的页面,可以结合超链接实现页内跳转等等操作, 看个图就知道了
    使用流程如下

    • 在iframe标签中使用name属性定义一个名称
    • 在a标签的target属性上设置iframe的name的属性值

    之前我们说过a标签的target可以选择是否在当前页面打开新窗口,这里只要把target改成iframe的name就可以实现业内的页面变换了

    实现

    直接放代码吧

    <!DOCTYPE html>
    <html>
    <head>
    <meta charset="UTF-8">
    <title>8.iframe标签.html</title>
    </head>
    <body>
    	我是一个单独的完整的页面<br/><br/>
        <!--ifarme标签可以在页面上开辟一个小区域显示一个单独的页面
                ifarme和a标签组合使用的步骤:
                    1 在iframe标签中使用name属性定义一个名称
                    2 在a标签的target属性上设置iframe的name的属性值
        -->
        <iframe src="3.标题标签.html" width="500" height="400" name="abc"></iframe>
        <br/>
    
        <ul>
            <li><a href="0-标签语法.html" target="abc">0-标签语法.html</a></li>
            <li><a href="1.font标签.html" target="abc">1.font标签.html</a></li>
            <li><a href="2.特殊字符.html" target="abc">2.特殊字符.html</a></li>
        </ul>
    </body>
    </html>
    

    效果如下
    这是原本的页面
    在这里插入图片描述
    当我们点击下面的a标签时,页面发生了改变
    在这里插入图片描述
    iframe的功能就是这么简单

    展开全文
  • 浮动框架iframe详解iframe标签也叫浮动框架标签,iframe标签也是一个比较特殊的框架,可以放在浏览器中的小窗口,可以出现在页面的任何一个位置上,但是整个页面并一定在框架页面上,iframe框架完全是有开发者去定义...
  • iframe基本内涵通常我们使用iframe直接直接在页面嵌套iframe标签指定src就可以了。<在学习web前端的过程中,难免会遇到很多的问题,这些问题可能会困扰你许久,为此我有个web前端开发学习交流群(545667817),...
  • HTML框架frame与iframe详解

    千次阅读 2021-06-12 19:14:55
    frameset的基本属性包括:分行rows=“”和分列cols=“” 代码示例 web 代码详解 border 设置框架的边框粗细。 bordercolor 设置框架的边框颜色。 frameborder 设置是否显示框架边框。设定值只有0、1; 0 表示不要...
  • 需要将proxy.html放到与内嵌的iframe页同域的服务下, 并且可以被访问到. 使用 支持2种调用方式: 使用 postMessage 和 URL params. postMessage 该方法需要使用 JSON.stringify 将对象转为字符串. // React function...
  • 主要介绍了javascript iframe跨域详解的相关资料,需要的朋友可以参考下
  • html标iframe详解

    2019-07-16 16:04:58
    html标详解 我们使用iframe直接直接在页面嵌套iframe标签指定src就可以了。src可以是网址,图片,HTML,但是使用时请注意跨域问题。 <iframe src="https://www.baidu.com/" name="baidu" frameborder="0"><...
  • iframe用法详解

    2020-03-27 15:14:07
    通过使用框架,你可以在同一个浏览器窗口中显示不止一个页面, 提示:HTML 与 XHTML 之间的差异...iframe一般用来包含别的页面,例如我们可以在我们自己的网站页面加载别人网站的内容,为了更好的效果,可能需要使i...
  • Iframe 详解

    2012-12-21 15:00:21
    frame与Iframe的各项属性  frame例子:&lt;frameset cols="50%,*"&gt; &lt;noframes&gt; &lt;body&gt; Sorry,your explorer doesn't support the frame...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 8,807
精华内容 3,522
关键字:

iframe详解