The iframe element vloží ďalšie webové stránky priamo do aktuálnej stránky. HTML5 zavádza tri nové atribúty tohto prvku, aby pomohol vyriešiť problémy s bezpečnosťou a použiteľnosťou HTML4 iframe implementácia.
Atribút „sandbox“
The pieskovisko atribút iframe prvok je užitočnou bezpečnostnou funkciou pre prvky iframe. Keď ho umiestnite do iframe element, užívateľský agent zakazuje funkcie, ktoré by mohli predstavovať bezpečnostné riziko pre web a jeho používateľov.
Napríklad:
dáva pokyn prehľadávaču, aby zakázal všetky funkcie, ktoré by mohli predstavovať bezpečnostné riziko - takže žiadne doplnky, formuláre, skripty, odchádzajúce odkazy, cookies, miestne úložisko a prístup na stránku rovnakého servera.
Potom pomocou pieskovisko hodnoty kľúčových slov, znova povoľte niektoré funkcie. Ide o tieto kľúčové slová:
- allow-form: Povoliť odoslanie formulára.
- dovoliť-rovnaký pôvod: Povoliť skriptom prístup k obsahu, ako sú súbory cookie, z rovnakej pôvodnej domény.
- allow-skripty: Povoliť spustenie skriptov v tomto IFRAME.
- allow-top-navigation: Povoliť odkazy a skripty iframe na cieľ „_top“
Nenastavujte obidve allow-skripty a dovoliť-rovnaký pôvod kľúčové slová spolu na rovnakom iframe. Ak tak urobíte, vložená stránka potom môže odstrániť pieskovisko atribútu, čím sa negujú jeho bezpečnostné výhody.
Atribút „srcdoc“
The srcdoc Atribút dáva webdizajnérovi väčšiu kontrolu nad prvkami iframe a väčšiu bezpečnosť. Namiesto odkazovania na webovú stránku na inej URL, umiestni webový dizajnér HTML, ktoré sa má zobraziť v iframe vnútri srcdoc atribút.
Umiestnením kódu HTML, ktorý je vytvorený nedôveryhodným zdrojom, napríklad formulárom, do kódu iframe môžete nedôveryhodný obsah izolovať na karanténe a stále ho zobrazovať na stránke. Príkladom sú komentáre na blogu. Väčšina blogov ponúka iba obmedzený počet značiek HTML, ktoré môžu komentátori použiť vo svojich komentároch. Ale umiestnením týchto komentárov do karantény iframe pomocou srcdoc tento atribút môžu byť komentáre robustnejšie a zároveň chrániť stránku ako celok.
Zabezpečenie a rámce iframe
Vyššie uvedené dva atribúty poskytujú zabezpečenie pre váš server iframe prvky, ale nie sú obranou proti všetkým škodlivým webom. Ak škodlivá stránka dokáže presvedčiť návštevníkov vašej stránky, aby mali priamy prístup k nepriateľskému obsahu (napríklad zadaním adresy URL do svojho prehliadača), môžu byť stále napadnutí.
Ak môžete, nastavte obsah, ktorý sa nachádza v karanténe iframe ako text / html-sandboxed Typ MIME.
„Bezproblémový“ atribút
The bezproblémový attribute je boolovský atribút, ktorý hovorí prehliadaču, aby zobrazil iframe akoby to bolo súčasťou nadradeného dokumentu. Ak chcete svoje iframe pre bezproblémové zobrazenie stačí zahrnúť tento atribút do prvku:
Ale výroba iframe plynulý je viac než len vzhľad, je to aj to, ako stránka interaguje s rámom. Niekoľko rád:
- Odkazy v iframe sa otvorí v nadradenom okne, pokiaľ iframe stránka má nastavený cieľ „_SELF“.
- CSS v iframe sa pridá do kaskády celého dokumentu.
- Koreňový prvok iframe stránka sa považuje za dieťa iframe.
- Šírka a výška iframe sú nastavené podobným spôsobom ako ďalšie prvky na úrovni blokov by bolo stanovené.
- Keď je nadradený dokument zobrazený nástrojom na vykreslenie reči, ako je napríklad čítačka obrazovky, iframe budú prečítané bez oznámenia ako samostatný dokument.
Akékoľvek skripty v nadradenom dokumente by ovplyvnili iframe rovnakým spôsobom. Napríklad, ak skript uviedol všetky rámce na stránke, odkazy v iframe bude uvedený rovnako.
Inými slovami, bezproblémový tento atribút robí oveľa viac než len odstránenie hraníc z okna iframe. Ak sa chystáte nastaviť iframe aby ste boli bezproblémoví, mali by ste si byť úplne istí obsahom, aby ste vložením škodlivého webu nepridali na svoje webové stránky žiadne bezpečnostné riziko.