Змест, бяспека і дызайн атрыбуты для IFRAME
Элемент дазваляе ўстаўляць іншыя вэб-старонкі непасрэдна ў вэб-старонкі. Але пры выкарыстанні Iframes ёсць некаторыя пытанні бяспекі і дызайну , якія не былі разгледжаны ў HTML 4.01. HTML5 прыносіць тры новыя атрыбуты гэтага элемента, каб дапамагчы вырашыць гэтыя праблемы:
пясочніца Навык
Атрыбут пясочніцы элемента IFRAME з'яўляецца вельмі карыснай функцыяй бяспекі фрэймаў. Калі вы змесціце яго ў элемент IFRAME, вы інструктажу агенту карыстальніка, каб забараніць функцыі, якія могуць выклікаць пагрозу бяспецы сайта і яго карыстальнікаў.
Напрыклад:
Паведамляе браўзэр, каб забараніць усе функцыі, якія могуць прадстаўляць пагрозу бяспецы. У прыватнасці, убудовы забароненыя. Формы не могуць быць прадстаўлены. Sscripts не будзе працаваць і спасылка за межамі IFRAME не дапускаецца. І, нарэшце, доступ да печыва, лакальнага захоўвання дадзеных і іншых старонак на тым жа дамене (паходжання) не дапускаецца.
Затым, выкарыстоўваючы значэнне пясочніцы ключавых слоў, вы можаце паўторна ўключыць некаторыя з функцый. Гэтыя ключавыя словы:
- Allow-формаў -allow прадстаўлення формы
- дазваляе-ж паходжанне -allow скрыптоў для доступу да кантэнту, як печыва з таго ж дамена паходжання
- Allow-скрыпты -allow скрыпты для запуску ў гэтым IFRAME
- дазваляюць-топ-навігацыі -allow ў IFRAME спасылкі і скрыпты да мэты _top
Гэта не вельмі добрая ідэя, каб усталяваць як Allow-скрыпты і дазваляюць-ж паходжання ключавыя словы разам на адной і той жа IFRAME. Калі вы зробіце гэта, ўкаранёная старонка можа затым цалкам выдаліць атрыбут пясочніцы, адмаўляючы любыя перавагі ў плане бяспекі.
Srcdoc Навык
Атрыбут srcdoc з'яўляецца атрыбутам, які дае вэб-дызайнер больш кантролю над фрэймаў, а таксама больш высокі ўзровень бяспекі. Замест спасылкі на вэб-старонкі на іншы URL, вэб-дызайнер змяшчае HTML, які павінен адлюстроўвацца ў IFRAME ўнутры атрыбуту srcdoc.
Ць - першае, вы маглі б думаць, "Як гэта па -Іншыя , чым паставіць HTML права на старонцы?» І ў пэўным сэнсе, гэта не вельмі адрозніваецца.
Але вы павінны мець на ўвазе адну з функцый IFRAME элемента, які павінен трымаць ненадзейныя дадзеныя асобна ад астатняй часткі сайта.
Размяшчаючы HTML, які ствараецца ненадзейным крыніцай, напрыклад, як форма, у IFRAME вы можаце «пясочніца» ненадзейнае ўтрыманне і да гэтага часу яго адлюстраванне на старонцы. Каментары ў блогах з'яўляюцца прыкладам. Большасць блог маюць толькі абмежаваную колькасць HTML-тэгі каментатар можна выкарыстоўваць у сваіх каментарах. Але, калі размяшчалі гэтыя каментары ў ізаляваным IFRAME з дапамогай атрыбуту srcdoc, каментары могуць быць больш надзейнымі, абараняючы пры гэтым сайт у цэлым.
Бяспеку і Iframes
Гэтыя два атрыбуту забяспечвае бяспеку для вашага IFRAME элементаў, але яны не з'яўляюцца доказам супраць усіх шкоднасных сайтаў. Калі шкоднасны сайт можа пераканаць карыстальніка адкрыць варожы кантэнт непасрэдна (напрыклад, шляхам уводу URL у браўзэры), яны ўсё яшчэ могуць быць атакаваныя.
Калі магчыма, лепш усталяваць змесціва, якое знаходзіцца ў ізаляваным IFRAME як тэкст / HTML-пясочніцы MIME тыпу.
бясшвовых Навык
Бясшвовых атрыбут з'яўляецца лагічным атрыбутам, які ўказвае браўзэр, каб адлюстраваць IFRAME, як калі б яна была часткай бацькоўскага дакумента. Калі вы хочаце, каб ваш IFRAME адлюстроўваць лёгка, проста ўключыць гэты атрыбут ў элеменце:
Але робячы бясшвовыя IFRAME больш, чым проста знешні выгляд, гэта таксама, як старонка ўзаемадзейнічае з рамай. Напрыклад:
- Спасылкі ў IFRAME адкрыецца ў бацькоўскай акне , калі старонка IFRAME не мае набор мэтавых _self.
- CSS у IFRAME будзе дададзены ў каскад ўсяго дакумента.
- Каранёвай элемент старонкі IFRAME лічыцца нашчадкам IFRAME.
- Шырыня і вышыня IFRAME ўсталёўваюцца такім жа чынам , як у іншыя блокавыя элементы будуць устаноўлены.
- Калі бацькоўскі дакумент разглядаецца інструмент прамовы рэндэрынгу, як чытач экрана, IFRAME будзе чытаць без аб'яўляць яго ў выглядзе асобнага дакумента.
- Любыя сцэнары на бацькоўскі дакумент будзе ўплываць на дакумент IFRAME такім жа чынам. Напрыклад, калі сцэнар пералічаныя ўсе кадры на старонцы, спасылкі ў IFRAME будуць пералічаныя таксама.
Іншымі словамі, бясшвовыя атрыбут робіць значна больш, чым проста выдаліць мяжы з IFRAME. Калі вы збіраецеся ўсталяваць IFRAME быць бясшвоўнай, вы павінны быць вельмі ўпэўнены ў змесце, так што вы не дадаеце ніякага рызыкі бяспекі для вашага вэб-сайта шляхам ўкаранення шкоднаснага сайта.