码迷,mamicode.com
首页 > Web开发 > 详细

HTML iframe 用法总结收藏

时间:2016-03-26 07:11:15      阅读:199      评论:0      收藏:0      [点我收藏+]

标签:

html5-iframe的新特性

相对于html4.0来说,html5在安全性方面有了很大的提升,甚至html5的标志看上去就像一块盾牌。其中iframe的sandbox特性,就是html5安全中很重要的组成部分部分。于此同时还带来了一个新的mime类型,text-html/sandboxed。

   下面先简单介绍一下html5的iframe特性:

   相对于我们平时所熟知的<iframe>标签的特性,比如“src”,“width”,"name"等,html5中iframe多了如下三个属性:

   srcdoc, sandbox , seamless,其中最令人眼前一亮的莫过于sandbox属性了

   一、<iframe>的sandbox属性。

   在html5页面中,可以使用iframe的sandbox属性,比如:<iframe src="http://alibaba.com" sandbox>,sandbox后面如果不加任何值,就代表采用默认的安全策略,即:iframe的页面将会被当做一个独自的源,同时不能提交表单,以及执行javascript脚本,也不能让包含iframe的父页面导航到其他地方,所有的插件,如flash,applet等也全部不能起作用。简单说iframe就只剩下一个展示的功能,正如他的名字一样,所有的内容都被放入了一个单独的沙盒。

    我写了两个html页面简单演示了一下iframe的sandbox功能,由iframe_sandbox.htm去包含inside.htm

    iframe_sandbox.htm代码如下:

======================================================================

<!DOCTYPE html>      <!--html5头 -->

<html>

<iframe src="inside.htm" sandbox ></iframe>  <!-- iframe 标签,其中sandbox没有值,表示默认策略-->

</html>

======================================================================

  inside.htm代码如下:

======================================================================

<!DOCTYPE html>

<html>

本窗口<script>document.write(window.location.href)</script><br>

父窗口<script>document.write(window.parent.location.href)</script><br>

<a href="http://hi.baidu.com/dingody/home" target="_blank">blank</a>

<a href="http://hi.baidu.com/dingody/home" target="_self">self</a>

<a href="http://hi.baidu.com/dingody/home" target="_parent">parent</a>

<a href="http://hi.baidu.com/dingody/home" target="_top">top</a>

<form id="form" action="http://hi.baidu.com/dingody/home" >

<input type="submit" value="sub">

</form>

</html>

======================================================================

chrome浏览器(ff和ie都暂不支持)打开iframe_sandbox.htm显示如下:

技术分享


iframe页面的脚本并没有执行,同时blank,paren,top链接全部失效,sub按钮也没有反应。只有self安全可以导向到指定页面。

1、 接下来修改sandbox属性为allow-scripts,<iframe id="test" src="inside.htm" sandbox="allow-scripts"></iframe>

显示如下:

技术分享
iframe页面的脚本可以执行,但是依然不能访问父页面的属性,同时其他链接和按钮依然失效。

2、修改sandbox属性为 allow-top-navigation:

      blank,self,parent,top链接全部生效

3、修改sandbox 属性为: allow-forms 

      sub按钮点击生效

4、修改sandbox属性为: allow-scripts allow-same-origin,显示如下:

      同源策略生效:

      技术分享

以上的这些例子简单的演示了sandbox的用法。

       其实一旦我们在sandbox属性里面同时使用了allow-scripts allow-same-origin属性的话,子页面就可以操纵父页面的标签了,也就是说,在同时设置了allow-script allow-same-origin的时候,sandbox策略就失效了。html5的官方文档里面也有这样的提示:

Setting both the allow-scripts and allow-same-origin keywords together when the embedded page has the same origin as the page containing the iframe allows the embedded page to simply remove the sandbox attribute.

      我在测试子页面remove父页面的iframe的sandbox属性的时候遇到一个问题,那就是必须子页面进行一次刷新才能生效。比如这样的代码:

      inside.htm代码如下:

======================================================================

document.write(window.parent.document.getElementById("test").sandbox="allow-scripts allow-top-navigation allow-same-origin");
======================================================================

经过测试发现,在浏览器第一次渲染的时候,代码是不生效的,只有iframe中的页面重新载入,才能突破sandbox。

猜测是这样的情况。

1、浏览器经过第一次渲染的时候,子页面的sandbox属性是allow-scripts allow-same-origin,这个时候渲染已经完成,虽然子页面将父页面的iframe属性设置为allow-scripts allow-top-navigation allow-same-origin,但是子页面里面的dom属性依然不变。

2、经过一次子页面的刷新之后,子页面的dom转换成具有allow-scripts allow-top-navigation allow-same-origin属性的dom,所以成功。

下面给出一个子页面操作父页面sandbox属性的例子,通过一次页面刷新实现:

<script>

function reurl(){ 

url = location.href; 

var times = url.split("?"); 

if(times[1] != 1){ 

url += "?1";  

self.location.replace(url); 

if(window.parent.length>0){onload=reurl;}

document.write(window.parent.document.getElementById("test").sandbox="allow-scripts allow-top-navigation allow-same-origin");

</script>

二、iframe的其他属性:

目前应该还没有浏览器支持这些,仅仅停留在文档上

srcdoc属性用法如下:<iframe srcdoc="<p>dingo</p>"></iframe>

seamless属性用法如下:<iframe seamless="seamless" src="xxx"></iframe> 效果就是渲染出来的页面你看不出是用iframe内嵌的,而是与现在的文档相融合,去掉了恶心的边框。

三、text-html/sandboxed 

iframe的sandbox属性另外附带了一个新的MIMEtype,text-html/sandboxed。这个目前应该也没有浏览器实现。格式位text-html/sandboxed的内容将会跟设置了sandbox属性的iframe子页面一样,被严格控制。



js控制页面中iframe内的页面提交

只是js的操作,没什么技术含量,做个备忘

将a.jsp中的iframe内的页b.jsp中的form提交

a.jsp内容:

<%@   page   language="java"   %>

<script language="javascript">

<!--

function upDateData()

{

//设置iframe提交的页面路径

 document.myIframe.document.ifForm.action="<%=request.getContextPath()%>/xxx/xxx/xx.jsp";

 document.myIframe.document.ifForm.submit();

//document.frames(‘myIframe‘).document.ifForm.submit();

}

-->

<table   width="75%"   height="75"   border="1"   align="center"   cellpadding="0"   cellspacing="0">  

          <tr>    

              <td><iframe frameborder="0" name="myIframe" id="myIframe" src="b.jsp" height="100%" width="100%" scrolling="auto" align="middle"></iframe></td>  

          </tr>  

      </table>

b.jsp的内容:

<form name="ifForm" method="post" action="">

//你的内容

</form>


提交Iframe  messageBox自动隐藏

<iframe style="display:none" name="htarget">

<form target="htarget">




HTML5 window/iframe跨域传递消息 API



HTML5 的  window.postMessage 接口API 还没有多少人了解。  window.postMessage允许多个 window/frame之间跨域传递数据和信息。实质上window.postMessage扮演了一个跨域Ajax请求的角色,当然,并不需要远程服务器来协作。接下来将介绍window.postMessage的工作原理,以及如何在FireFox,IE8+,Opera,Safari和Chrome中使用它.


一、消息发送端
整个过程的第一步,是设定一个"消息源"。通过这个消息源,我们可以往新打开的window(或者iframe)发送window级别的数据(消息)。在下面的示例中,给新窗口发送消息的频率是每6秒一次,并设置事件监听来处理目标window返回的响应信息。
[javascript] view plain copy
?
  1. function trace(message){  
  2.     var infos = Array.prototype.slice.call(arguments,0).join(" ");  
  3.     if("console" in window){  
  4.         console.log(infos);  
  5.     } else {  
  6.         alert(infos);  
  7.     }  
  8. };  
  9. // 创建弹出窗口  
  10. var domain = ‘http://scriptandstyle.com‘;  
  11. var myPopup = window.open(domain + ‘/windowPostMessageListener.html‘,‘myWindow‘);  
  12.   
  13. // 定时发送消息  
  14. setInterval(function(){  
  15.     var message = ‘现在时间: ‘ + (new Date().getTime());  
  16.     trace(‘数据源.发送的消息:  ‘ + message);  
  17.     myPopup.postMessage(message,domain); //发送数据信息,并设置目标URI  
  18. },6*1000);  
  19.   
  20. function bindEvent(target,noOnEventName,handler){  
  21.     if(window.addEventListener){  
  22.         target.addEventListener(noOnEventName,handler);  
  23.     } else if(window.attachEvent){  
  24.         // IE 的监听设置函数是attachEvent  
  25.         target.attachEvent("on"+noOnEventName,handler);  
  26.     } else {  
  27.         target["on"+noOnEventName]=handler;  
  28.     }  
  29. };  
  30.   
  31. // 监听收到的信息.  
  32. bindEvent(window,‘message‘,function(event) {  
  33.     // 只接收特定域的消息  
  34.     if(event.origin !== ‘http://scriptandstyle.com‘return;  
  35.     trace(‘收到的响应信息:  ‘,event.data);  
  36. },false);  
原文作者使用的是window.addEventListener方法来绑定事件,但是在IE下将会报错(IE是window.attachEvent).当然,你可以创建函数来包装事件,或者使用现成的类库,比如MooTools或者jQuery/dojo来实现。
在上面的示例中,如果新窗口打开正常,那我们可以通过window对象的引用myPopup发送消息,并指定必须匹配的URI(协议、主机名、端口号)(如果用户在子窗口中跳到其他页面,则消息将不会发送).
同样我们也绑定了事件处理函数来接收消息message。在此提醒,校验message事件的origin(源)属性很重要,因为可能接收到所有URI发给自己的消息,在多个frame交互时才不至于混淆。 校验过origin之后,如何处理此消息,取决于你具体的业务和需求。

如果使用iframe的话,那么代码如下:
[javascript] view plain copy
?
  1. // 同样创建另一个window(iframe,frame,frameset,top,window这些都属于window相关的对象。)  
  2. var domain = ‘http://scriptandstyle.com‘;  
  3. var iframe = document.getElementById(‘myIFrame‘).contentWindow;  
  4.   
  5. // 循环发送消息,当然,也可以采用事件驱动之类的。。。  
  6. setInterval(function(){  
  7.   
  8.     var message = ‘现在时间: ‘ + (new Date().getTime());  
  9.     trace(‘数据源.发送的消息:  ‘ + message);  
  10.     iframe.postMessage(message,domain); //发送数据信息,并设置目标URI  
  11. },6*1000);  

确保能访问到iframe对象的contentWindow 属性——而不仅仅是iframe对象。

二、消息接收端
整个流程的第二步就是让目标window就绪。目的窗口所要做的,就是监听message事件,当然也要验证事件的origin消息源。再次提醒:message事件处理函数可以接受任何域名发给他的消息,所以验证origin以及只处理信任列表的message非常重要。
[javascript] view plain copy
?
  1. // 监听收到的信息.  
  2. bindEvent(window,‘message‘,function(event) {  
  3.     // 只接收特定域的消息  
  4.     if(event.origin !== ‘http://davidwalsh.name‘return;  
  5.     trace(‘监听到信息:  ‘,event.data);  
  6.     // 回复消息  
  7.     event.source.postMessage(""你好,小伙伴们,我已经收到消息了,event.origin);  
  8. },false);  

上面的示例回复了响应信息给请求方。
message事件重要的属性有:
source - 发送message的window/iframe对象
origin - 对应着发送消息window的URI (protocol, domain, and port, 如果有指定的话)
data - 具体的数据信息
对于消息系统以及校验来说,这三个对象是必不可少的。


window.postMessage 使用注意事项
就和其他所有的Web技术一样,如果使用不当(没有验证事件源)那危险性是显而易见的。当然,安全性由你自己来保证。
window.postMessage 很像JavaScript技术中的PHP(哈哈,小广告!).window.postMessage 算是一种很酷炫的技术,你觉得呢?

HTML iframe 用法总结收藏

标签:

原文地址:http://blog.csdn.net/bigcakewshwl/article/details/50977548
(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
分享档案
更多>
2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)
周排行
mamicode.com排行更多图片
更多
友情链接
兰亭集智   国之画   百度统计   站长统计   阿里云   chrome插件   新版天听网
关于我们 - 联系我们 - 留言反馈
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!