De iframe element legger andre nettsider direkte inn på den gjeldende siden. HTML5 introduserer tre nye attributter til dette elementet for å adressere sikkerhets- og brukervennlighetsproblemene til HTML4 iframe gjennomføring.
'Sandbox' -attributtet
De Sandkasse attributt til iframe element er en nyttig sikkerhetsfunksjon for iframes. Når du plasserer den i en iframe element, tillater brukeragenten funksjoner som kan utgjøre en sikkerhetsrisiko for nettstedet og dets brukere.
For eksempel:
instruerer nettleseren om å avvise alle funksjoner som kan være en sikkerhetsrisiko - så ingen plugins, skjemaer, skript, utgående lenker, informasjonskapsler, lokal lagring og sidetilgang på samme sted.
Bruk deretter Sandkasse søkeordverdier, aktiver noen av funksjonene på nytt. Disse nøkkelordene er:
- tillat-skjemaer: Tillat innlevering av skjema.
- tillate samme opprinnelse: Tillat skript å få tilgang til innhold som informasjonskapsler fra samme opprinnelsesdomene.
- tillatelseskript: Tillat at skript kjører i denne IFRAME.
- tillat-topp-navigering: Tillat iframe-koblinger og skript til "_top" -målet
Ikke sett begge tillatelseskript og tillate samme opprinnelse nøkkelord sammen på det samme iframe. Hvis du gjør det, kan den innebygde siden fjerne Sandkasse attributt, og negerer sikkerhetsfordelene.
Attributtet 'srcdoc'
De srcdoc attributt gir webdesigneren mer kontroll over iframes samt mer sikkerhet. I stedet for å koble til en webside på en annen URL, plasserer webdesigneren HTML-en som skal vises i en iframe inne i srcdoc Egenskap.
Ved å plassere HTML som er opprettet av en ikke-klarert kilde, for eksempel et skjema, i en iframe Du kan sandkasse det ikke-klarerte innholdet og fremdeles vise det på siden. Bloggkommentarer er et eksempel. De fleste blogger tilbyr bare et begrenset antall HTML-koder som kommentatorer kan bruke i kommentarene sine. Men ved å plassere disse kommentarene i en sandkasse iframe bruker srcdoc attributt, kan kommentarene være mer robuste mens de fortsatt beskytter nettstedet som helhet.
Sikkerhet og Iframes
Ovennevnte to attributter gir sikkerhet for din iframe elementer, men de er ikke et forsvar mot alle ondsinnede nettsteder. Hvis det ondsinnede nettstedet kan overbevise besøkende om å få tilgang til det fiendtlige innholdet direkte (for eksempel ved å skrive inn URL-en i nettleseren), kan de fortsatt bli angrepet.
Hvis du kan, angir du innholdet i sandkassen iframe som tekst / html-sandkasse MIME-type.
Det 'sømløse' attributtet
De sømløs attributt er et boolsk attributt som ber nettleseren om å vise iframe som om det var en del av foreldredokumentet. Hvis du vil ha din iframe for å vise sømløst, bare inkluder dette attributtet i elementet:
Men å gjøre det iframe sømløs er mer enn bare utseendet, det er også hvordan siden samhandler med rammen. Noen tips:
- Koblinger i iframe åpnes i foreldervinduet med mindre iframe siden har målet "_SELF".
- CSS i iframe vil bli lagt til kaskaden av hele dokumentet.
- Rotelementet til iframe siden regnes som et barn av iframe.
- Bredden og høyden på iframe er satt på en lignende måte som hvordan andre elementer på blokknivå ville være satt.
- Når foreldredokumentet blir sett på av et gjengivelsesverktøy som en skjermleser, blir iframe vil bli lest uten å kunngjøre det som et eget dokument.
Eventuelle skript på foreldredokumentet vil påvirke iframe dokument på samme måte. For eksempel, hvis et skript oppførte alle rammene på siden, koblingene i iframe ville også være oppført.
Med andre ord, sømløs attributt gjør mye mer enn bare å fjerne grensene fra iframe. Hvis du skal sette en iframe For å være sømløs, bør du være veldig sikker på innholdet, slik at du ikke legger til noen sikkerhetsrisiko på nettstedet ditt ved å legge inn et ondsinnet nettsted.