The iframe element manustab teisi veebilehti otse praegusele lehele. HTML5 tutvustab sellele elemendile kolme uut atribuuti, et aidata lahendada HTML4 turvalisuse ja kasutatavusega seotud probleeme iframe rakendamine.
„Liivakasti” atribuut
The liivakast atribuut iframe element on iframe'i jaoks kasulik turvaelement. Kui asetate selle iframe elemendi kaudu keelab kasutajaagent funktsioonid, mis võivad ohustada saiti ja selle kasutajaid.
Näiteks:
käsib brauseril keelata kõik funktsioonid, mis võivad olla turvariskiks - seega ei tohi kasutada pistikprogramme, vorme, skripte, väljaminevaid linke, küpsised, kohalik salvestusruum ja juurdepääs samale saidile.
Seejärel kasutage nuppu liivakast märksõna väärtused, lubage mõned funktsioonid uuesti. Need märksõnad on:
- lubavad vormid: Lubage vormi esitamine.
- lubama-sama päritolu: Lubage skriptidel juurdepääs sisule, nagu sama päritoludomeeni küpsised.
- lubage skripte: Lubage skriptidel selles IFRAME-is töötada.
- luba peal navigeerida: Lubage iframe'i lingid ja skriptid sihtmärgile "_top"
Ärge määrake mõlemat lubage skripte ja lubama-sama päritolu märksõnad koos iframe. Kui te seda teete, saab manustatud leht aadressi eemaldada liivakast atribuut, eitades selle turvalisuse eeliseid.
Atribuut 'srcdoc'
The srcdoc atribuut annab veebidisainerile suurema kontrolli iframe'i üle ja turvalisuse. Selle asemel, et linkida veebisaidile, mis asub teisel aadressil URL, paigutab veebidisainer HTML-i, mis tuleb kuvada iframe sees srcdoc atribuut.
Paigaldades ebausaldusväärse allika, näiteks vormi loodud HTML-i iframe võite ebausaldusväärse sisu liivakasti paigutada ja lehel siiski kuvada. Blogi kommentaarid on näide. Enamik ajaveebe pakub ainult piiratud arvu HTML-silte, mida kommenteerijad saavad oma kommentaarides kasutada. Kuid asetades need kommentaarid liivakasti iframe kasutades srcdoc atribuudi, võivad kommentaarid olla usaldusväärsemad, kaitstes siiski saiti tervikuna.
Turvalisus ja iframe
Kaks ülaltoodud atribuuti pakuvad teie turvalisust iframe elemente, kuid need ei ole kaitse kõigi pahatahtlike saitide eest. Kui pahatahtlik sait suudab veenda teie saidi külastajaid vaenulikule sisule otse juurde pääsema (näiteks sisestades URL-i oma brauserisse), saab neid siiski rünnata.
Kui saate, määrake liivakastis olev sisu iframe nagu text / html-sandboxed MIME tüüp.
"Õmblusteta" atribuut
The sujuv atribuut on boolean atribuut, mis käsib brauseril kuvada iframe nagu oleks see osa vanemdokumendist. Kui soovite oma iframe sujuvalt kuvamiseks lisage elementi lihtsalt see atribuut:
Kuid tehes iframe õmblusteta on midagi enamat kui lihtsalt välimus, see on ka see, kuidas leht raamiga suhtleb. Mõned näpunäited:
- Lingid iframe avaneb vanemaknas, kui iframe lehel on seatud sihtmärk "_SELF".
- CSS iframe lisatakse kogu dokumendi kaskaadile.
- Juurelement iframe lehte peetakse iframe.
- Laius ja kõrgus iframe on seatud sarnaselt sellele, kuidas muud plokitaseme elemendid oleks seatud.
- Kui algdokumenti kuvatakse kõne renderdamise tööriista abil nagu ekraanilugeja, iframe loetakse seda eraldi dokumendina välja kuulutamata.
Kõik algdokumendi skriptid mõjutavad iframe dokumendi samamoodi. Näiteks kui skript loetleb kõik lehe raamid, siis linkides iframe oleks loetletud ka.
Teisisõnu, sujuv atribuut teeb palju enamat kui lihtsalt piiride eemaldamine iframe. Kui kavatsete määrata iframe sujuvuse huvides peaksite olema sisus väga kindel, et pahatahtliku saidi manustamise abil oma veebisaidile turvariski ei lisataks.