iframe elementti upottaa muut verkkosivut suoraan nykyiselle sivulle. HTML5 esittelee tälle elementille kolme uutta määritettä, jotka auttavat vastaamaan HTML4: n turvallisuus- ja käytettävyysongelmiin iframe toteutus.
"Hiekkalaatikko" -attribuutti
hiekkalaatikko attribuutti iframe elementti on hyödyllinen suojausominaisuus iframe-kehyksille. Kun laitat sen iframe -elementti, käyttäjäagentti kieltää ominaisuudet, jotka saattavat aiheuttaa turvallisuusriskin sivustolle ja sen käyttäjille.
Esimerkiksi:
kehottaa selainta kieltäytymään kaikista ominaisuuksista, jotka saattavat olla turvallisuusriski - joten ei laajennuksia, lomakkeita, komentosarjoja, lähteviä linkkejä, keksit, paikallinen tallennustila ja pääsy samalla sivustolla.
Käytä sitten hiekkalaatikko avainsana-arvot, ota jotkut ominaisuudet käyttöön uudelleen. Nämä avainsanat ovat:
- salli-lomakkeet: Salli lomakkeen lähettäminen.
- salli-sama alkuperä: Salli komentosarjojen käyttää sisältöä, kuten evästeitä samasta alkuperätunnuksesta.
- Salli-skriptit: Anna komentosarjojen suorittaa tässä IFRAME-kehyksessä.
- Salli-top-navigointi: Salli iframe-linkit ja komentosarjat "_top" -kohteeseen
Älä aseta molempia Salli-skriptit ja salli-sama alkuperä avainsanat yhdessä iframe. Jos teet niin, upotettu sivu voi sitten poistaa hiekkalaatikko määritteestä, sen turvallisuusetuja ei oteta huomioon.
'Srcdoc' -attribuutti
srcdoc attribuutti antaa web-suunnittelijalle paremman hallinnan iframe-kehyksissä ja lisää turvallisuutta. Sen sijaan, että linkittäisit verkkosivustoon eri osoitteessa URL, verkkosuunnittelija sijoittaa HTML: n, joka on tarkoitus näyttää iframe sisällä srcdoc määritteen.
Sijoittamalla epäluotettavan lähteen, kuten lomakkeen, luoman HTML-koodin iframe Voit jättää epäluotettavan sisällön hiekkalaatikkoon ja näyttää sen silti sivulla. Blogikommentit ovat esimerkki. Useimmat blogit tarjoavat vain rajoitetun määrän HTML-tunnisteita, joita kommentoijat voivat käyttää kommenteissaan. Mutta asettamalla nämä kommentit hiekkalaatikkoon iframe käyttämällä srcdoc attribuutin avulla kommentit voivat olla vankempia ja silti suojata koko sivustoa.
Suojaus ja iframe-kehykset
Kaksi yllä olevaa määritettä tarjoavat suojauksen iframe elementtejä, mutta ne eivät ole suoja kaikkia haitallisia sivustoja vastaan. Jos haitallinen sivusto voi vakuuttaa sivustosi kävijät käyttämään suoraan vihamielistä sisältöä (esimerkiksi kirjoittamalla URL-osoitteen selaimeen), heitä voidaan silti hyökätä.
Jos mahdollista, aseta hiekkalaatikossa oleva sisältö iframe kuten teksti / html-hiekkalaatikko MIME-tyyppi.
"Saumaton" ominaisuus
saumaton attribuutti on looginen attribuutti, joka käskee selainta näyttämään iframe ikään kuin se olisi osa päädokumenttia. Jos haluat iframe näyttääksesi saumattomasti, lisää vain tämä attribuutti elementtiin:
Mutta tekemällä iframe saumaton on enemmän kuin vain ulkoasu, se on myös miten sivu on vuorovaikutuksessa kehyksen kanssa. Joitakin vinkkejä:
- Linkit iframe avautuu pääikkunassa, ellei iframe sivulla on kohde "_SELF".
- CSS iframe lisätään koko asiakirjan kaskadiin.
- Juurielementti iframe sivua pidetään iframe.
- Leveys ja korkeus iframe asetetaan samalla tavalla kuin miten muut lohkotason elementit olisi asetettu.
- Kun päädokumenttia tarkastellaan puheenhahmontatyökalulla, kuten näytönlukuohjelmassa, iframe luetaan ilmoittamatta siitä erillisenä asiakirjana.
Kaikki päädokumentin komentosarjat vaikuttavat iframe asiakirjan samalla tavalla. Jos komentosarja esimerkiksi listaa kaikki sivun kehykset, linkit iframe olisi myös listattu.
Toisin sanoen saumaton attribuutti tekee paljon muutakin kuin vain rajojen poistamisen iframe. Jos aiot asettaa iframe ollaksesi saumaton, sinun tulee olla varma sisällöstä, jotta et lisää mitään turvallisuusriskiä verkkosivustollesi upottamalla haitallista sivustoa.