The iframe element vloží další webové stránky přímo do aktuální stránky. HTML5 zavádí tři nové atributy tohoto prvku, které pomáhají řešit problémy zabezpečení a použitelnosti HTML4 iframe implementace.
Atribut „pískoviště“
The pískoviště atribut iframe prvek je užitečná funkce zabezpečení pro prvky iframe. Když ji umístíte do iframe element, uživatelský agent zakáže funkce, které by mohly představovat bezpečnostní riziko pro web a jeho uživatele.
Například:
dá prohlížeči pokyn, aby zakázal všechny funkce, které by mohly představovat bezpečnostní riziko - žádné pluginy, formuláře, skripty, odchozí odkazy, cookies, místní úložiště a přístup na stránku stejného webu.
Poté pomocí pískoviště hodnoty klíčových slov, znovu povolte některé z funkcí. Tato klíčová slova jsou:
- povolenky: Povolit odeslání formuláře.
- povolit stejný původ: Povolit skriptům přístup k obsahu, jako jsou soubory cookie ze stejné původní domény.
- povolit skripty: Povolit spouštění skriptů v tomto IFRAME.
- allow-top-navigation: Povolit odkazy a skripty iframe na cíl „_top“
Nenastavujte obě povolit skripty a povolit stejný původ klíčová slova společně iframe. Pokud tak učiníte, může vložená stránka poté odstranit pískoviště atribut, popírající jeho bezpečnostní výhody.
Atribut 'srcdoc'
The srcdoc Atribut dává webovému designérovi větší kontrolu nad prvky iframe i větší bezpečnost. Místo odkazování na webovou stránku na jiné URL, webový designér umístí HTML, které se má zobrazit v iframe uvnitř srcdoc atribut.
Umístěním HTML, které je vytvořeno nedůvěryhodným zdrojem, například formulářem, do iframe můžete nedůvěryhodný obsah izolovat a stále ho zobrazovat na stránce. Příkladem jsou komentáře k blogu. Většina blogů nabízí pouze omezený počet značek HTML, které mohou komentátoři použít ve svých komentářích. Ale umístěním těchto komentářů do karantény iframe za použití srcdoc atribut, komentáře mohou být robustnější a zároveň chránit web jako celek.
Zabezpečení a prvky iframe
Výše uvedené dva atributy poskytují zabezpečení vašeho iframe prvky, ale nejedná se o obranu proti všem škodlivým stránkám. Pokud škodlivá stránka může přesvědčit návštěvníky vašich stránek, aby měli přímý přístup k nepřátelskému obsahu (například zadáním adresy URL do svého prohlížeče), mohou být stále napadeni.
Pokud můžete, nastavte obsah, který je v karanténě iframe jako text / html-sandboxed Typ MIME.
„Bezproblémový“ atribut
The bezešvý attribute je booleovský atribut, který říká prohlížeči, aby zobrazil iframe jako by to byla součást nadřazeného dokumentu. Pokud chcete svůj iframe pro bezproblémové zobrazení stačí do prvku zahrnout tento atribut:
Ale dělat iframe plynulý je více než jen vzhled, je to také to, jak stránka interaguje s rámečkem. Některé tipy:
- Odkazy v iframe se otevře v nadřazeném okně, pokud iframe stránka má nastavený cíl „_SELF“.
- CSS v iframe bude přidán do kaskády celého dokumentu.
- Kořenový prvek iframe stránka je považována za dítě iframe.
- Šířka a výška iframe jsou nastaveny podobným způsobem jako další prvky na úrovni bloku bude nastaven.
- Když je nadřazený dokument zobrazen nástrojem pro vykreslování řeči, jako je čtečka obrazovky, iframe bude číst bez oznámení jako samostatný dokument.
Jakékoli skripty v nadřazeném dokumentu by ovlivnily iframe dokument stejným způsobem. Pokud například skript uvádí všechny rámce na stránce, odkazy v souboru iframe bude také uveden.
Jinými slovy bezešvý atribut dělá mnohem víc než jen odstranění hranic z iframe. Pokud se chystáte nastavit iframe abyste byli bezproblémoví, měli byste si být velmi jistí obsahem, abyste na svůj web nepřidali žádné bezpečnostní riziko vložením škodlivého webu.