iframe elementul încorporează alte pagini web direct în pagina curentă. HTML5 introduce trei noi atribute acestui element pentru a ajuta la soluționarea problemelor de securitate și utilizare ale HTML4 iframe implementare.
Atributul „sandbox”
nisip atribut al iframe elementul este o caracteristică de securitate utilă pentru iframe. Când îl așezați într-un iframe element, agentul utilizatorului interzice funcțiile care ar putea prezenta un risc de securitate pentru site și utilizatorii săi.
De exemplu:
instruiește browserul să nu permită toate funcțiile care ar putea reprezenta un risc de securitate - deci nu există pluginuri, formulare, scripturi, linkuri de ieșire, cookie-uri, stocare locală și acces la pagina de pe același site.
Apoi, folosind nisip valorile cuvintelor cheie, reactivați unele dintre funcții. Aceste cuvinte cheie sunt:
- permite-forme: Permiteți trimiterea formularului.
- allow-same-origin: Permiteți scripturilor să acceseze conținut precum cookie-uri din același domeniu de origine.
- permite-scripturi: Permiteți scripturilor să ruleze în acest IFRAME.
- permite-navigare de sus: Permiteți linkurile și scripturile iframe către ținta „_top”
Nu setați atât permite-scripturi și allow-same-origin cuvinte cheie împreună pe același iframe. Dacă faceți acest lucru, pagina încorporată poate elimina fișierul nisip atribut, negând beneficiile sale de securitate.
Atributul „srcdoc”
srcdoc atributul oferă designerului web mai mult control asupra iframe-urilor, precum și mai multă securitate. În loc să vă conectați la o pagină web la o altă pagină URL, designerul web plasează codul HTML care trebuie afișat într-un fișier iframe în interiorul srcdoc atribut.
Prin plasarea HTML într-un fișier HTML creat de o sursă de încredere, cum ar fi un formular iframe puteți să verificați conținutul care nu este de încredere și să îl afișați în continuare pe pagină. Comentariile de pe blog sunt un exemplu. Majoritatea blogurilor oferă doar un număr limitat de etichete HTML pe care comentatorii le pot folosi în comentariile lor. Dar prin plasarea acestor comentarii într-o cutie cu nisip iframe folosind srcdoc atributul, comentariile pot fi mai robuste, protejând totuși site-ul în ansamblu.
Securitate și iframe
Cele două atribute de mai sus oferă securitate pentru dvs. iframe elemente, dar nu reprezintă o apărare împotriva tuturor site-urilor rău intenționate. Dacă site-ul rău intenționat poate convinge vizitatorii site-ului dvs. să acceseze direct conținutul ostil (de exemplu, tastând adresa URL în browserul lor), aceștia pot fi totuși atacați.
Dacă puteți, setați conținutul care este în sandbox iframe dupa cum text / html-sandboxed Tip MIME.
Atributul „fără sudură”
fără sudură atributul este un atribut boolean care spune browserului să afișeze iframe de parcă ar fi fost o parte a documentului părinte. Dacă vrei iframe pentru a afișa perfect, includeți doar acest atribut în elementul:
Dar realizarea iframe perfect este mai mult decât aspectul, este, de asemenea, modul în care pagina interacționează cu cadrul. Niste sfaturi:
- Linkuri în iframe se va deschide în fereastra părinte, cu excepția cazului în care iframe pagina are ținta „_SELF” setată.
- CSS în iframe va fi adăugat la cascada întregului document.
- Elementul rădăcină al iframe pagina este considerată un copil al iframe.
- Lățimea și înălțimea iframe sunt stabilite într-un mod similar cu cum alte elemente la nivel de bloc ar fi setat.
- Când documentul părinte este vizualizat de un instrument de redare a vorbirii ca un cititor de ecran, iframe ar fi citit fără a-l anunța ca un document separat.
Orice scripturi din documentul părinte ar afecta fișierul iframe document în același mod. De exemplu, dacă un script enumeră toate cadrele de pe pagină, linkurile din iframe ar fi listate și ele.
Cu alte cuvinte, fără sudură atributul face mult mai mult decât să elimine marginile din iframe. Dacă aveți de gând să setați un iframe pentru a fi perfect, ar trebui să fiți foarte sigur de conținut, astfel încât să nu adăugați niciun risc de securitate site-ului dvs. web prin încorporarea unui site rău intenționat.