Det iframe element indlejrer andre websider direkte i den aktuelle side. HTML5 introducerer tre nye attributter til dette element for at hjælpe med at løse sikkerheds- og brugervenlighedsproblemer i HTML4 iframe implementering.
Attributten 'sandkasse'
Det sandkasse attribut for iframe element er en nyttig sikkerhedsfunktion til iframes. Når du placerer den i en iframe element, tillader brugeragenten funktioner, der kan udgøre en sikkerhedsrisiko for webstedet og dets brugere.
For eksempel:
pålægger browseren at afvise alle funktioner, der kan være en sikkerhedsrisiko - så ingen plugins, formularer, scripts, udgående links, cookies, lokal lagring og sideadgang til samme sted.
Brug derefter sandkasse søgeordsværdier, genaktiver nogle af funktionerne. Disse nøgleord er:
- tillad-formularer: Tillad indsendelse af formular.
- tillade-samme oprindelse: Tillad scripts at få adgang til indhold som cookies fra det samme oprindelsesdomæne.
- tilladelseskripter: Tillad, at scripts kører i denne IFRAME.
- tillad-top-navigation: Tillad iframe-links og scripts til "_top" -målet
Indstil ikke begge tilladelseskripter og tillade-samme oprindelse nøgleord sammen om det samme iframe. Hvis du gør det, kan den integrerede side derefter fjerne sandkasse attribut, idet dens sikkerhedsfordele nægtes.
Attributten 'srcdoc'
Det srcdoc attribut giver webdesigneren mere kontrol over iframes samt mere sikkerhed. I stedet for at linke til en webside på en anden URL, placerer webdesigneren den HTML, der skal vises i en iframe inde i srcdoc attribut.
Ved at placere HTML, der er oprettet af en ikke-betroet kilde, såsom en formular, i en iframe du kan sandkasse det utro, der ikke er tillid til, og stadig vise det på siden. Blogkommentarer er et eksempel. De fleste blogs tilbyder kun et begrænset antal HTML-tags, som kommentatorer kan bruge i deres kommentarer. Men ved at placere disse kommentarer i en sandkasse iframe bruger srcdoc attribut, kan kommentarerne være mere robuste, mens de stadig beskytter webstedet som helhed.
Sikkerhed og Iframes
Ovenstående to attributter giver sikkerhed for din iframe elementer, men de er ikke et forsvar mod alle ondsindede websteder. Hvis det ondsindede websted kan overbevise dine besøgende om at få direkte adgang til det fjendtlige indhold (f.eks. Ved at skrive URL'en i deres browser), kan de stadig blive angrebet.
Hvis du kan, skal du indstille indholdet i sandkassen iframe som den tekst / html-sandkasse MIME-type.
Den 'sømløse' attribut
Det sømløs attribut er en boolsk attribut, der beder browseren om at vise iframe som om det var en del af det overordnede dokument. Hvis du vil have din iframe for at få vist problemfrit, skal du blot inkludere denne attribut i elementet:
Men at gøre det iframe sømløs er mere end bare udseendet, det er også, hvordan siden interagerer med rammen. Nogle tip:
- Links i iframe åbnes i det overordnede vindue, medmindre iframe siden har målet "_SELF" indstillet.
- CSS i iframe tilføjes til kaskaden af hele dokumentet.
- Grundelementet i iframe siden betragtes som et barn af iframe.
- Bredden og højden af iframe er indstillet på en lignende måde som hvordan andre elementer på blokniveau ville være indstillet.
- Når forældredokumentet ses af et værktøj til gengivelse af tale som en skærmlæser, bliver iframe ville blive læst uden at annoncere det som et separat dokument.
Eventuelle scripts på det overordnede dokument vil påvirke iframe dokument på samme måde. For eksempel, hvis et script angiver alle rammerne på siden, skal linkene i iframe ville også være opført.
Med andre ord, sømløs attribut gør meget mere end bare at fjerne grænserne fra iframe. Hvis du vil indstille en iframe for at være sømløs, skal du være meget sikker på indholdet, så du ikke tilføjer nogen sikkerhedsrisiko til dit websted ved at integrere et ondsindet websted.