一般咱们使用iframe直接直接在页面嵌套iframe标签指定src就能够了。javascript
<iframe src="demo_iframe_sandbox.htm"></iframe>
可是,有追求的咱们,并非想要这么low的iframe. 咱们来看看在iframe中还能够设置些什么属性php
iframe经常使用属性:
1.frameborder:是否显示边框,1(yes),0(no)
2.height:框架做为一个普通元素的高度,建议在使用css设置。
3.width:框架做为一个普通元素的宽度,建议使用css设置。
4.name:框架的名称,window.frames[name]时专用的属性。
5.scrolling:框架的是否滚动。yes,no,auto。
6.src:内框架的地址,可使页面地址,也能够是图片的地址。
7.srcdoc , 用来替代原来HTML body里面的内容。可是IE不支持, 不过也没什么卵用
8.sandbox: 对iframe进行一些列限制,IE10+支持
上面一些tag,会在下文进行穿插说明,单个很差说。
咱们一般使用iframe最基本的特性,就是能自由操做iframe和父框架的内容(DOM). 但前提条件是同域. 若是跨域顶多只能实现页面跳转window.location.href.
那什么是同域/ 什么是跨域呢?
就是判断你的url首部是否同样,下面会有讲解,这里只是说起。
同域不一样域的问题:css
A:<iframe id="mainIframe" name="mainIframe" src="/main.html" frameborder="0" scrolling="auto" ></iframe> B:<iframe id="mainIframe" name="mainIframe" src="http://www.baidu.com" frameborder="0" scrolling="auto" ></iframe>
使用A时,由于同域,父页面能够对子页面进行改写,反之亦然。
使用B时,不一样域,父页面没有权限改动子页面,但能够实现页面的跳转
这里,咱们先从简单的开始,当主页面和iframe同域时,咱们能够干 些什么。html
主要的两个API就是contentWindow,和contentDocument
iframe.contentWindow, 获取iframe的window对象
iframe.contentDocument, 获取iframe的document对象
这两个API只是DOM节点提供的方式(即getELement系列对象)前端
var iframe = document.getElementById("iframe1"); var iwindow = iframe.contentWindow; var idoc = iwindow.document; console.log("window",iwindow);//获取iframe的window对象 console.log("document",idoc); //获取iframe的document console.log("html",idoc.documentElement);//获取iframe的html console.log("head",idoc.head); //获取head console.log("body",idoc.body); //获取body
另外更简单的方式是,结合Name属性,经过window提供的frames获取.html5
<iframe src ="/index.html" id="ifr1" name="ifr1" scrolling="yes"> <p>Your browser does not support iframes.</p> </iframe> <script type="text/javascript"> console.log(window.frames['ifr1'].window); console.dir(document.getElementById("ifr1").contentWindow); </script>
其实window.frames['ifr1']返回的就是window对象,即java
window.frames['ifr1']===window
这里就看你想用哪种方式获取window对象,二者都行,不过本人更倾向于第二种使用frames[xxx].由于,字母少啊喂~ 而后,你就能够操控iframe里面的DOM内容。node
同理,在同域下,父页面能够获取子iframe的内容,那么子iframe一样也能操做父页面内容。在iframe中,能够经过在window上挂载的几个API进行获取.web
window.parent 获取上一级的window对象,若是仍是iframe则是该iframe的window对象
window.top 获取最顶级容器的window对象,即,就是你打开页面的文档
window.self 返回自身window的引用。能够理解 window===window.self(脑残)
话说在好久好久之前,咱们实现异步发送请求是使用iframe实现的~!
怎么可能!!!
真的史料为证(自行google), 那时候为了避免跳转页面,提交表单时是使用iframe提交的。如今,前端发展尼玛真快,websocket,SSE,ajax等,逆天skill的出现,颠覆了iframe, 如今基本上只能活在IE8,9的浏览器内了。 可是,宝宝觉得这样就能够不用了解iframe了,而现实就是这么残酷,咱们目前还须要兼容IE8+。因此,iframe 实现长轮询和长链接的trick 咱们仍是须要涉猎滴。ajax
若是写过ajax的童鞋,应该知道,长轮询就是在ajax的readyState = 4的时,再次执行原函数便可。 这里使用iframe也是同样,异步建立iframe,而后reload, 和后台协商好, 看后台哥哥们将返回的信息放在,而后获取里面信息便可. 这里是直接放在body里.
var iframeCon = docuemnt.querySelector('#container'), text; //传递的信息 var iframe = document.createElement('iframe'), iframe.id = "frame", iframe.style = "display:none;", iframe.name="polling", iframe.src="target.html"; iframeCon.appendChild(iframe); iframe.onload= function(){ var iloc = iframe.contentWindow.location, idoc = iframe.contentDocument; setTimeout(function(){ text = idoc.getElementsByTagName('body')[0].textContent; console.log(text); iloc.reload(); //刷新页面,再次获取信息,而且会触发onload函数 },2000); }
这样就能够实现ajax的长轮询的效果。 固然,这里只是使用reload进行获取,你也能够添加iframe和删除iframe的方式,进行发送信息,这些都是根据具体场景应用的。另外在iframe中还能够实现异步加载js文件,不过,iframe和主页是共享链接池的,因此仍是很蛋疼的,如今基本上都被XHR和hard calllback取缔了,这里也不过多介绍了。
网页为了赚钱,引入广告是很正常的事了。一般的作法就是使用iframe,引入广告地址就能够了,而后根据广告内容设置相应的显示框。可是,为何是使用iframe来进行设置,而不是在某个div下嵌套就好了呢?
要知道,广告是与原文无关的,这样硬编码进去,会形成网页布局的紊乱,并且,这样势必须要引入额外的css和js文件,极大的下降了网页的安全性。 这些全部的弊端,均可以使用iframe进行解决。
咱们一般能够将iframe理解为一个沙盒,里面的内容可以被top window 彻底控制,并且,主页的css样式是不会入侵iframe里面的样式,这些都给iframe的广告命运埋下伏笔。能够看一下各大站点是否都在某处放了些广告,以维持生计好比:W3School
但,默认状况下,iframe是不适合作展现信息的,因此咱们须要对其进行decorate.
默认状况下,iframe会自带滚动条,不会全屏.若是你想自适应iframe的话:第一步:去掉滚动条
<iframe src="./iframe1.html" id="iframe1" scrolling="no"></iframe>
第二步,设置iframe的高为body的高
var iwindow = iframe.contentWindow; var idoc = iwindow.document; iframe.height = idoc.body.offsetHeight;
另外,还能够添加其它的装饰属性:
| 属性 | 效果 |
|---|---|
| allowtransparency | true or false 是否容许iframe设置为透明,默认为false |
| allowfullscreen | true or false 是否容许iframe全屏,默认为false |
看个例子:
<iframe id="google_ads_frame2" name="google_ads_frame2" width="160" height="600" frameborder="0" src="target.html" marginwidth="0" marginheight="0" vspace="0" hspace="0" allowtransparency="true" scrolling="no" allowfullscreen="true"></iframe>
你能够直接写在内联里面,也能够在css里面定义,不过对于广告iframe来讲,样式写在属性中,是best pratice.
iframe出现安全性有两个方面,一个是你的网页被别人iframe,一个是你iframe别人的网页。 当你的网页被别人iframe时,比较蛋疼的是被钓鱼网站利用,而后victim+s留言逼逼你。真.简直了。 因此为了防止页面被一些不法分子利用,咱们须要作好安全性措施。
好比,最出名的clickhacking就是使用iframe来 拦截click事件。由于iframe享有着click的最优先权,当有人在伪造的主页中进行点击的话,若是点在iframe上,则会默认是在操做iframe的页面。 因此,钓鱼网站就是使用这个技术,经过诱导用户进行点击,好比,设计一个"妹妹寂寞了"等之类的网页,诱导用户点击,但实际结果,你看到的不是"妹妹",而是被恶意微博吸粉。
因此,为了防止网站被钓鱼,可使用window.top来防止你的网页被iframe.
//iframe2.html if(window != window.top){ window.top.location.href = correctURL; }
这段代码的主要用途是限定你的网页不能嵌套在任意网页内。若是你想引用同域的框架的话,能够判断域名。
if (top.location.host != window.location.host) { top.location.href = window.location.href; }
固然,若是你网页不一样域名的话,上述就会报错。
因此,这里可使用try...catch...进行错误捕获。若是发生错误,则说明不一样域,表示你的页面被盗用了。可能有些浏览器这样写是不会报错,因此须要降级处理。
这时候再进行跳转便可.
try{ top.location.hostname; //检测是否出错 //若是没有出错,则降级处理 if (top.location.hostname != window.location.hostname) { top.location.href =window.location.href; } } catch(e){ top.location.href = window.location.href; }
这只是浏览器端,对iframe页面的权限作出相关的设置。 咱们还能够在服务器上,对使用iframe的权限进行设置.
X-Frame-Options是一个相应头,主要是描述服务器的网页资源的iframe权限。目前的支持度是IE8+(已经很好了啊喂)有3个选项:
DENY:当前页面不能被嵌套iframe里,即使是在相同域名的页面中嵌套也不容许,也不容许网页中有嵌套iframe
SAMEORIGIN:iframe页面的地址只能为同源域名下的页面
ALLOW-FROM:能够在指定的origin url的iframe中加载
X-Frame-Options其实就是将前端js对iframe的把控交给服务器来进行处理。
//js if(window != window.top){ window.top.location.href = window.location.href; } //等价于 X-Frame-Options: DENY //js if (top.location.hostname != window.location.hostname) { top.location.href =window.location.href; } //等价于 X-Frame-Options: SAMEORIGIN
该属性是对页面的iframe进行一个主要限制,不过,涉及iframe的header可不止这一个,另外还有一个Content Security Policy, 他一样也能够对iframe进行限制,并且,他应该是之后网页安全防御的主流。
和X-Frames-Options同样,都须要在服务器端设置好相关的Header. CSP 的做用, 真的是太大了,他可以极大的防止你的页面被XSS攻击,并且能够制定js,css,img等相关资源的origin,防止被恶意注入。不过他的兼容性,也是渣的一逼。目前支持Edge12+ 以及 IE10+。
并且目前市面上,流行的是3种CSP头,以及各类浏览器的兼容性
使用主要是在后端服务器上配置,在前端,咱们能够观察Response Header 里是否有这样的一个Header:
Content-Security-Policy: default-src 'self'
这就代表,你的网页是启用CSP的。一般咱们能够在CSP后配置各类指定资源路径,有
default-src, script-src, style-src, img-src, connect-src, font-src, object-src, media-src, sandbox, child-src, ...
若是你未指定的话,则是使用default-src规定的加载策略.
默认配置就是同域: default-src "self".
这里和iframe有一点瓜葛的就是 child-src 和 sandbox.
child-src就是用来指定iframe的有效加载路径。其实和X-Frame-Options中配置allow-origin是一个道理。不过,allow-origin 没有获得厂商们的支持。
而,sandbox其实就和iframe的sandbox属性(下文介绍),是同样同样的,他能够规定来源可以带有什么权限.
来个demo:
Content-Security-Policy: child-src 'self' http://example.com; sandbox allow-forms allow-same-origin
此时,iframe的src就只能加载同域和example.com页面。 最后再补充一点: 使用CSP 可以很好的防止XSS攻击,原理就是CSP会默认escape掉内联样式和脚本,以及eval执行。可是,你可使用srcipt-src进行下降限制.
Content-Security-Policy: script-src 'unsafe-inline'
若是想更深刻的了解CSP,能够参阅:CSP,中文CSP,H5rock之CSP
ok, 上面基本上就是防止本身页面被嵌套而作的一些安全防御工做。 固然,咱们面临的安全问题还有一个,就是当iframe别人的页面时,咱们须要对其进行安全设限,虽然,跨域时iframe的安全性会大不少,可是,互联网是没有安全的地方。在之前,咱们会进行各类trick来防止本身的页面被污染,如今h5提供的一个新属性sandbox能够很好的解决这个问题。
sandbox就是用来给指定iframe设置一个沙盒模型限制iframe的更多权限.
sandbox是h5的一个新属性,IE10+支持(md~).
启用方式就是使用sandbox属性:
<iframe sandbox src="..."></iframe>
这样会对iframe页面进行一系列的限制:
1. script脚本不能执行 2. 不能发送ajax请求 3. 不能使用本地存储,即localStorage,cookie等 4. 不能建立新的弹窗和window 5. 不能发送表单 6. 不能加载额外插件好比flash等
看到这里,我也是醉了。 好好的一个iframe,你这样是否是有点过度了。 不过,你能够放宽一点权限。在sandbox里面进行一些简单设置
<iframe sandbox="allow-same-origin" src="..."></iframe>
经常使用的配置项有:
| 配置 | 效果 |
|---|---|
| allow-forms | 容许进行提交表单 |
| allow-scripts | 运行执行脚本 |
| allow-same-origin | 容许同域请求,好比ajax,storage |
| allow-top-navigation | 容许iframe可以主导window.top进行页面跳转 |
| allow-popups | 容许iframe中弹出新窗口,好比,window.open,target="_blank" |
| allow-pointer-lock | 在iframe中能够锁定鼠标,主要和鼠标锁定有关 |
能够经过在sandbox里,添加容许进行的权限.
<iframe sandbox="allow-forms allow-same-origin allow-scripts" src="..."></iframe>
这样,就能够保证js脚本的执行,可是禁止iframe里的javascript执行top.location = self.location。
哎,其实,iframe的安全问题仍是超级有的。好比location劫持,Refers检查等。 不过目前而言,知道怎么简单的作一些安全措施就over了,白帽子们会帮咱们测试的。
iframe就是一个隔离沙盒,至关于咱们在一个页面内能够操控不少个标签页同样。若是踩坑的童鞋应该知道,iframe的解决跨域也是颇有套套的。
首先咱们须要明确什么是跨域。
浏览器判断你跨没跨域,主要根据两个点。 一个是你网页的协议(protocol),一个就是你的host是否相同,即,就是url的首部:
window.location.protocol +window.location.host
须要强调的是,url首部必须同样,好比:二级域名或者IP地址,都算是跨域.
//域名和域名对应ip, 跨域 http://www.a.com/a.js http://70.32.92.74/b.js //统一域名,不一样二级域名。 跨域 http://www.a.com/a.js http://a.com/b.js
对于第二种方式的跨域(主域相同而子域不一样),可使用iframe进行解决。
在两个不一样子域下(某一方使用iframe嵌套在另外一方),
即:
http: //www.foo.com/a.html和http: //script.foo.com/b.html
两个文件中分别加上document.domain = ‘foo.com’,指定相同的主域,而后,两个文档就能够进行交互。
//b.html是以iframe的形式嵌套在a.html中 //www.foo.com上的a.html document.domain = 'foo.com'; var ifr = document.createElement('iframe'); ifr.src = 'http://script.foo.com/b.html'; ifr.style.display = 'none'; document.body.appendChild(ifr); ifr.onload = function(){ var doc = ifr.contentDocument || ifr.contentWindow.document; // 在这里操纵b.html alert(doc.getElementsByTagName("h1")[0].childNodes[0].nodeValue); }; //script.foo.com上的b.html document.domain = 'foo.com';
默认状况下document.domain 是指window.location.hostname. 你能够手动更改,可是最多只能设置为主域名。 一般,主域名就是指不带www的hostname, 好比: foo.com , baidu.com 。 若是,带上www或者其余的前缀,就是二级域名或者多级域名。经过上述设置,相同的domain以后,就能够进行同域的相关操做。另外还可使用iframe和location.hash,不过因为技术out了,这里就不作介绍了。
若是你设置的iframe的域名和你top window的域名彻底不一样。 则可使用CDM(cross document messaging)进行跨域消息的传递。该API的兼容性较好 ie8+都支持.
发送消息: 使用postmessage方法
接受消息: 监听message事件
该方法挂载到window对象上,即,使用window.postmessage()调用.
该方法接受两个参数:postMessage(message, targetOrigin):
message: 就是传递给iframe的内容, 一般是string,若是你想传object对象也能够。不过使用前请参考这一句话:
Objects listed in transfer are transferred, not just cloned, meaning that they are no longer usable on the sending side.
意思就是,但愿亲爱的不要直接传Object。 若是有条件,可使用是JSON.stringify进行转化。这样能保证不会出bug.
targetOrigin: 接受你传递消息的域名,能够设置绝对路径,也能够设置""或者"/"。 表示任意域名都行,"/"表示只能传递给同域域名。
来个栗子:
<iframe src="http://tuhao.com" name="sendMessage"></iframe> //当前脚本 let ifr = window.frames['sendMessage']; //使用iframe的window向iframe发送message。 ifr.postmessage('give u a message', "http://tuhao.com"); //tuhao.com的脚本 window.addEventListener('message', receiver, false); function receiver(e) { if (e.origin == 'http://tuhao.com') { if (e.data == 'give u a message') { e.source.postMessage('received', e.origin); //向原网页返回信息 } else { alert(e.data); } } }
当targetOrigin接受到message消息以后,会触发message事件。 message提供的event对象上有3个重要的属性,data,origin,source.
data:postMessage传递进来的值
origin:发送消息的文档所在的域
source:发送消息文档的window对象的代理,若是是来自同一个域,则该对象就是window,可使用其全部方法,若是是不一样的域,则window只能调用postMessage()方法返回信息