The iframe element ugrađuje ostale web stranice izravno u trenutnu stranicu. HTML5 uvodi tri nova atributa ovom elementu kako bi pomogao riješiti probleme sigurnosti i upotrebljivosti HTML4-a iframe provedba.
Atribut 'pješčanika'
The pješčanik atribut iframe element korisna je sigurnosna značajka za iframe-ove. Kad ga smjestite u iframe element, korisnički agent zabranjuje značajke koje mogu predstavljati sigurnosni rizik web mjestu i njegovim korisnicima.
Na primjer:
nalaže pregledniku da zabrani sve značajke koje bi mogle predstavljati sigurnosni rizik - tako da nema dodataka, obrazaca, skripti, odlaznih veza, kolačiće, lokalna pohrana i pristup istoj web stranici.
Zatim, koristeći pješčanik vrijednosti ključnih riječi, ponovo omogućite neke značajke. Ove ključne riječi su:
- dopustiti-obrasci: Dopusti predaju obrasca.
- dopusti-isto podrijetlo: Omogućite skriptama pristup sadržaju poput kolačića s iste izvorne domene.
- dopusti-skripte: Omogući skriptama da se izvode u ovom IFRAME-u.
- dopusti gornju navigaciju: Dopustite iframe veze i skripte do cilja "_top"
Ne postavljajte obje dopusti-skripte i dopusti-isto podrijetlo ključne riječi zajedno na istom iframe. Ako to učinite, ugrađena stranica tada može ukloniti pješčanik atribut, negirajući njegove sigurnosne prednosti.
Atribut 'srcdoc'
The srcdoc atribut daje web dizajneru veću kontrolu nad iframeovima, kao i veću sigurnost. Umjesto povezivanja na web stranicu na drugoj URL, web dizajner postavlja HTML koji će se prikazati u iframe unutar srcdoc atribut.
Postavljanjem HTML-a koji je stvoren od strane nepovjerljivog izvora, poput obrasca, u iframe možete izdvojiti sadržaj nepovjerljivog okruženja i dalje ga prikazivati na stranici. Primjeri su komentari na blogu. Većina blogova nudi samo ograničen broj HTML oznaka koje komentatori mogu koristiti u svojim komentarima. Ali stavljanjem tih komentara u zaštićeni okvir iframe koristiti srcdoc atribut, komentari mogu biti robusniji, a da istovremeno štite web mjesto u cjelini.
Sigurnost i iframes
Gore navedena dva atributa pružaju sigurnost za vaš iframe elementi, ali nisu obrana od svih zlonamjernih stranica. Ako zlonamjerna web lokacija može uvjeriti posjetitelje vaše web stranice da izravno pristupe neprijateljskom sadržaju (na primjer upisivanjem URL-a u njihov preglednik), i dalje mogu biti napadnuti.
Ako možete, postavite sadržaj u zaštićenom okruženju iframe kao text / html-sandboxed MIME tip.
'Bešavni' atribut
The bešavne atribut je logički atribut koji govori pregledniku da prikaže iframe kao da je dio nadređenog dokumenta. Ako želite svoje iframe za neprimjetan prikaz, samo uključite ovaj atribut u element:
Ali izrada iframe besprijekoran je više od samog izgleda, to je i način na koji stranica komunicira s okvirom. Nekoliko savjeta:
- Veze u iframe otvorit će se u nadređenom prozoru, osim ako iframe stranica ima cilj "_SAM".
- CSS u iframe bit će dodan u kaskadu cijelog dokumenta.
- Korijenski element iframe stranica smatra se djetetom iframe.
- Širina i visina iframe postavljeni su na sličan način kako ostali elementi na razini bloka bio bi postavljen.
- Kada se nadređeni dokument pregledava pomoću alata za prikazivanje govora poput čitača zaslona, iframe čitao bi se bez najave kao zasebnog dokumenta.
Sve skripte na nadređenom dokumentu utjecale bi na iframe dokument na isti način. Na primjer, ako je skripta popisala sve okvire na stranici, veze u iframe bili bi i navedeni.
Drugim riječima, bešavne atribut čini puno više od samog uklanjanja granica s iframe. Ako ćete postaviti iframe da biste bili besprijekorni, trebali biste biti vrlo sigurni u sadržaj kako ne biste dodali bilo kakav sigurnosni rizik svojoj web lokaciji ugrađivanjem zlonamjerne web stranice.