Nauji IFRAME elemento HTML5 atributai
Trys nauji atributai pagerina šio universalaus HTML elemento saugumą
DavidMartynHunt / Flickr / CCBY
The iframe elementas įterpia kitus tinklalapius tiesiai į dabartinį puslapį.HTML5Šiam elementui pristatomi trys nauji atributai, padedantys išspręsti HTML4 saugumo ir naudojimo problemas iframe įgyvendinimas.
„Smėlio dėžės“ atributas
The smėlio dėžė atributas iframe elementas yra naudinga iframe saugos funkcija. Kai įdedate jį į iframe elementas, vartotojo agentas neleidžia funkcijų, kurios gali kelti pavojų svetainės ir jos naudotojų saugumui.
Pavyzdžiui:
|_+_|nurodo naršyklei neleisti visų funkcijų, kurios gali kelti pavojų saugumui – taigi jokių papildinių, formų, scenarijų, siunčiamų nuorodų, sausainiai , vietinė saugykla ir prieiga prie tos pačios svetainės puslapio.
Tada, naudojant smėlio dėžė raktinių žodžių vertes, iš naujo įgalinkite kai kurias funkcijas. Šie raktiniai žodžiai yra:
- Nuorodos į iframe bus atidarytas pirminiame lange, nebent iframe puslapyje nustatytas tikslas „_SELF“.
- CSS iframe bus įtraukta į viso dokumento kaskadą.
- Šakninis elementas iframe puslapis laikomas antruoju iframe .
- Plotis ir aukštis iframe yra nustatyti panašiai kaip kaip kiti bloko lygio elementai būtų nustatyta.
- Kai pirminis dokumentas peržiūrimas kalbos atvaizdavimo įrankiu, pvz., ekrano skaitytuvu, iframe būtų skaitomas neskelbiant jo kaip atskiro dokumento.
Nenustatykite abiejų leisti scenarijus ir leisti-tos pačios kilmės raktinius žodžius kartu iframe . Jei tai padarysite, įterptasis puslapis gali pašalinti smėlio dėžė atributas, paneigdamas jo saugumo naudą.
„srcdoc“ atributas
The srcdoc atributas suteikia žiniatinklio dizaineriui daugiau galimybių valdyti „iframe“ ir daugiau saugumo. Užuot nukreipę į kitą tinklalapį URL , žiniatinklio dizaineris įdeda HTML, kuris turi būti rodomas iframe viduje srcdoc atributas.
Įdėdami HTML, sukurtą iš nepatikimo šaltinio, pvz., formos, į a iframe galite perkelti nepatikimą turinį į smėlio dėžę ir vis tiek rodyti jį puslapyje. Tinklaraščio komentarai yra pavyzdys. Daugelis tinklaraščių siūlo tik ribotą skaičių HTML žymų, kurias komentatoriai gali naudoti savo komentaruose. Bet įdėjus tuos komentarus į smėlio dėžę iframe naudojant srcdoc atributas, komentarai gali būti patikimesni, kartu apsaugant visą svetainę.
Sauga ir Iframe
Aukščiau pateikti du atributai užtikrina jūsų saugumą iframe elementai, tačiau jie nėra apsauga nuo visų kenkėjiškų svetainių. Jei kenkėjiška svetainė gali įtikinti jūsų svetainės lankytojus tiesiogiai pasiekti priešišką turinį (pvz., įvesdama URL į savo naršyklę), jie vis tiek gali būti užpulti.
Jei galite, nustatykite smėlio dėžėje esantį turinį iframe kaip ir text/html-sandboxed MIME tipas.
„Tobulas“ atributas
The besiūliai atributas yra loginis atributas, kuris nurodo naršyklei rodyti iframe tarsi tai būtų pirminio dokumento dalis. Jei norite savo iframe kad būtų rodomas sklandžiai, tiesiog įtraukite šį atributą į elementą:
|_+_|Tačiau gaminant iframe vientisas yra ne tik išvaizda, bet ir tai, kaip puslapis sąveikauja su rėmeliu. Kai kurie patarimai:
Bet kokie pagrindinio dokumento scenarijai turės įtakos iframe dokumentuoti tokiu pat būdu. Pavyzdžiui, jei scenarijuje buvo išvardyti visi puslapio kadrai, nuorodos iframe taip pat būtų išvardyti.
Kitaip tariant, besiūliai atributas daro daug daugiau nei tik pašalina kraštines iš iframe . Jei ketinate nustatyti an iframe Kad būtų sklandžiai, turėtumėte būti labai tikri dėl turinio, kad nesukeltumėte savo svetainės saugumo rizikos įterpdami kenkėjišką svetainę.