iframe和iframe实现页面内嵌套一个页面(jsp)
相信刚学习javaweb的同学都十分好奇页面上点击一个按钮下面就显示一个页面,点击不同的导航栏按钮,下方就会显示不同内容,这就用到了iframe标签的src属性。下面就给大家介绍一下iframe的使用及嵌套页面的实现。下面还有对ifram的讲解。
这是实现的效果:
先给大家写一下嵌套页面的实现代码
<!DOCTYPE html>
<html lang="en"><head><meta charset="UTF-8" /><meta http-equiv="X-UA-Compatible" content="IE=edge" /><meta name="viewport" content="width=device-width, initial-scale=1.0" /><title>Document</title><style>* {margin: 0;padding: 0%;}a {text-decoration: none;}.head {width: 100%;height: 100px;background-color: #ccc;}.main {width: 100%;height: 500px;background-color: rgb(18, 138, 118);}.main-left {float: left;width: 20%;height: 100%;background-color: rgb(36, 34, 17);}.main-left-ul > li {width: 100%;height: 50px;list-style: none;line-height: 50px;font-size: 20px;border-bottom: 1px solid #ccc;}.main-left-ul > li:hover {background-color: #ccc;}.main-left span {height: 100px;line-height: 50px;font-size: 20px;margin-left: 50px;}.main-right {float: left;width: 80%;height: 100%;}.footer {width: 100%;height: 200px;background-color: rgb(28, 15, 100);}</style></head><body><div class="head"></div><div class="main"><div class="main-left"><ul class="main-left-ul"><li><a href="30图标特效.html" target="iframe0"><span>图标特效</span></a></li><li><a href="29收起、展开动画-下拉菜单.html" target="iframe0"><span>下拉菜单</span></a></li><li><a href="28收起、展开动画-折叠菜单.html" target="iframe0"><span>折叠菜单</span></a></li><li><a href="27对联广告.html" target="iframe0"><span>对联广告</span></a></li><li><a href="25Tab选项卡.html" target="iframe0"><span>Tab选项卡</span></a></li></ul></div><div class="main-right"><iframesrc="30图标特效.html"frameborder="0"name="iframe0"width="100%"height="100%"></iframe></div></div><div class="footer"></div></body>
</html>
里边引入的页面有30图标特效.html、29收起、展开动画-下拉菜单.html、28收起、展开动画-折叠菜单.html、27对联广告.html、25Tab选项卡.html
下面的是上面引入的页面,直接粘贴复制到自己的电脑上即可出效果
30图标特效.html
<!DOCTYPE html>
<html lang="en"><head><meta charset="UTF-8" /><meta http-equiv="X-UA-Compatible" content="IE=edge" /><meta name="viewport" content="width=device-width, initial-scale=1.0" /><title>Document</title><script src="../js/jquery-3.5.1.min.js"></script><script>/*** 没成功*/$(function () {$("ul>li").mouseenter(function () {$(this).children("span").animate({top: -50,},1000,function () {$(this).css("top", "50px");$(this).animate({top: 0,},1000);});});});</script><style>* {margin: 0%;padding: 0%;}.box {width: 400px;height: 200px;margin: 40px auto;border: 1px solid red;}ul > li {width: 50px;height: 50px;margin: 25px;list-style: none;float: left;background: #ccc;/* 超出部分隐藏 */overflow: hidden;}</style></head><body><div class="box"><ul><!-- span标签里可以放图片 --><li><span>1</span></li><li><span></span></li><li><span></span></li><li><span></span></li><li><span></span></li><li><span></span></li><li><span></span></li><li><span></span></li></ul></div></body>
</html>下面展示一些 内联代码片。
29收起、展开动画-下拉菜单.html
<!DOCTYPE html>
<html lang="en"><head><meta charset="UTF-8" /><meta http-equiv="X-UA-Compatible" content="IE=edge" /><meta name="viewport" content="width=device-width, initial-scale=1.0" /><title>Document</title><script src="../js/jquery-3.5.1.min.js"></script><script>/*** bug解决,前面的两个也可以用这种方式解决*/$(function () {$(".nav>li").click(function () {//获取到二级菜单var $sub = $(this).children(".sub");//关闭这个二级菜单正在执行的操作$sub.stop();//执行下拉操作$sub.slideDown(1000);});$(".nav>li").mouseout(function () {var $sub = $(this).children(".sub");$sub.stop();$sub.slideUp(1000);});});!function (e, t, a) {function r() {for (var e = 0; e < s.length; e++) s[e].alpha <= 0 ? (t.body.removeChild(s[e].el), s.splice(e, 1)) : (s[e].y--, s[e].scale += .004, s[e].alpha -= .013, s[e].el.style.cssText = "left:" + s[e].x + "px;top:" + s[e].y + "px;opacity:" + s[e].alpha + ";transform:scale(" + s[e].scale + "," + s[e].scale + ") rotate(45deg);background:" + s[e].color + ";z-index:99999");requestAnimationFrame(r)}function n() {var t = "function" == typeof e.onclick && e.onclick;e.onclick = function (e) {t && t(), o(e)}}function o(e) {var a = t.createElement("div");a.className = "heart", s.push({el: a,x: e.clientX - 5,y: e.clientY - 5,scale: 1,alpha: 1,color: c()}), t.body.appendChild(a)}function i(e) {var a = t.createElement("style");a.type = "text/css";try {a.appendChild(t.createTextNode(e))} catch (t) {a.styleSheet.cssText = e}t.getElementsByTagName("head")[0].appendChild(a)}function c() {return "rgb(" + ~~(255 * Math.random()) + "," + ~~(255 * Math.random()) + "," + ~~(255 * Math.random()) + ")"}var s = [];e.requestAnimationFrame = e.requestAnimationFrame || e.webkitRequestAnimationFrame || e.mozRequestAnimationFrame || e.oRequestAnimationFrame || e.msRequestAnimationFrame || function (e) {setTimeout(e, 1e3 / 60)}, i(".heart{width: 10px;height: 10px;position: fixed;background: #f00;transform: rotate(45deg);-webkit-transform: rotate(45deg);-moz-transform: rotate(45deg);}.heart:after,.heart:before{content: '';width: inherit;height: inherit;background: inherit;border-radius: 50%;-webkit-border-radius: 50%;-moz-border-radius: 50%;position: fixed;}.heart:after{top: -5px;}.heart:before{left: -5px;}"), n(), r()}(window, document);</script><style>* {margin: 0%;padding: 0%;}.nav {width: 800px;margin: 50px auto;/* position: relative; */list-style: none;}.nav > li {/* position: absolute; */float: left;cursor: pointer;list-style: none;width: 100px;height: 35px;text-align: center;border: 1px solid #000;background: #ccc;line-height: 35px;border-radius: 10px;}.nav > li:hover {background: #fff;}.sub {display: none;}.sub > li {list-style: none;background: #ccc;border-bottom: 1px solid white;border-radius: 10px;}</style></head><body><ul class="nav"><li>一级菜单<ul class="sub"><li>二级菜单</li><li>二级菜单</li><li>二级菜单</li><li>二级菜单</li><li>二级菜单</li></ul></li><li>一级菜单<span></span><ul class="sub"><li>二级菜单</li><li>二级菜单</li><li>二级菜单</li><li>二级菜单</li><li>二级菜单</li></ul></li><li>一级菜单<span></span><ul class="sub"><li>二级菜单</li><li>二级菜单</li><li>二级菜单</li><li>二级菜单</li><li>二级菜单</li></ul></li><li>一级菜单<span></span><ul class="sub"><li>二级菜单</li><li>二级菜单</li><li>二级菜单</li><li>二级菜单</li><li>二级菜单</li></ul></li><li>一级菜单<span></span><ul class="sub"><li>二级菜单</li><li>二级菜单</li><li>二级菜单</li><li>二级菜单</li><li>二级菜单</li></ul></li></ul></body>
</html>下面展示一些 内联代码片。
28收起、展开动画-折叠菜单.html
<!DOCTYPE html>
<html lang="en"><head><meta charset="UTF-8" /><meta http-equiv="X-UA-Compatible" content="IE=edge" /><meta name="viewport" content="width=device-width, initial-scale=1.0" /><title>Document</title><script src="../js/jquery-3.5.1.min.js"></script><script>/*** 存在一个bug,当你连续点击的时候,反应不过来*/$(function () {$(".nav>li").click(function () {//通过children找到当前的子元素var $sub = $(this).children(".sub");//让二级菜单显示$sub.slideDown(1000);//让其他二级菜单不显示(排它siblings)var $otherSub = $(this).siblings().children(".sub");$otherSub.slideUp(1000);//箭头改变方向$(this).addClass("current");//让所有非当前箭头回到原来位置$(this).siblings().removeClass("current");});});</script><style>* {margin: 0%;padding: 0%;}.nav {width: 300px;/* border: 1px solid #000; */margin: 50px auto;}.nav > li {cursor: pointer;list-style: none;width: 300px;/* height: 35px; */border: 1px solid #000;border-bottom: none;/* background: #ccc; */line-height: 35px;text-indent: 2em;position: relative;}.nav > li:last-child {border-bottom: 1px solid #000;border-bottom-left-radius: 10px;border-bottom-right-radius: 10px;}.nav > li:first-child {border-top-left-radius: 10px;border-top-right-radius: 10px;}.nav > li > span {display: inline-block;width: 15px;height: 15px;border-top: 2px solid red;border-right: 2px solid red;transform: rotate(45deg);position: absolute;top: 10px;right: 25px;}.sub {display: none;}.sub > li {list-style: none;background: mediumpurple;border-bottom: 1px solid white;}.sub > li:hover {background: red;}.nav > .current > span {transform: rotate(135deg);}</style></head><body><ul class="nav"><li>一级菜单<span></span><ul class="sub"><li>二级菜单</li><li>二级菜单</li><li>二级菜单</li><li>二级菜单</li><li>二级菜单</li></ul></li><li>一级菜单<span></span><ul class="sub"><li>二级菜单</li><li>二级菜单</li><li>二级菜单</li><li>二级菜单</li><li>二级菜单</li></ul></li><li>一级菜单<span></span><ul class="sub"><li>二级菜单</li><li>二级菜单</li><li>二级菜单</li><li>二级菜单</li><li>二级菜单</li></ul></li><li>一级菜单<span></span><ul class="sub"><li>二级菜单</li><li>二级菜单</li><li>二级菜单</li><li>二级菜单</li><li>二级菜单</li></ul></li><li>一级菜单<span></span><ul class="sub"><li>二级菜单</li><li>二级菜单</li><li>二级菜单</li><li>二级菜单</li><listyle="border-bottom-left-radius: 10px;border-bottom-right-radius: 10px;">二级菜单</li></ul></li></ul></body>
</html>下面展示一些 内联代码片。
27对联广告.html
<!DOCTYPE html>
<html lang="en"><head><meta charset="UTF-8" /><meta http-equiv="X-UA-Compatible" content="IE=edge" /><meta name="viewport" content="width=device-width, initial-scale=1.0" /><title>Document</title><script src="../js/jquery-3.5.1.min.js"></script><script>/*** 存在一个bug,当你连续上下滚动的时候,反应不过来*/$(function () {$(window).scroll(function () {// console.log($("html,body").scrollTop());//1.获取网页的偏移位var offset = $("html,body").scrollTop();//2.判断if (offset >= 300) {//显示广告动画$("img").show(1000);} else {$("img").hide(1000);}});});</script><style>img {width: 200px;height: 200px;display: none;}.left {float: left;position: fixed;left: 3%;top: 200px;}.right {float: right;position: fixed;right: 3%;top: 200px;}</style></head><body><img src="../image/2.jpg" alt="" class="left" /><img src="../image/2.jpg" alt="" class="right" /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><style scoped></style></body>
</html>下面展示一些 内联代码片。
25Tab选项卡.html
<!DOCTYPE html>
<html lang="en"><head><meta charset="UTF-8" /><meta http-equiv="X-UA-Compatible" content="IE=edge" /><meta name="viewport" content="width=device-width, initial-scale=1.0" /><title>Document</title><script src="../js/jquery-3.5.1.min.js"></script><script>$(function () {$(".nav>li").hover(function () {//这个有bug//修改移入的背景// $(this).addClass("current");// //获取移入的索引,来找到图片// var index = $(this).index();// //根据索引找到对应图片// var $li = $(".content>li").eq(index);// //将索引对应的图片显示在内容区// $li.addClass("show");/*** 下面这个没有bug*///修改被移入的背景$(this).addClass("current");//消除除自身以外的其他背景$(this).siblings().removeClass("current");//获取移入的索引,来找到图片var index = $(this).index();//根据索引找到对应图片var $li = $(".content>li").eq(index);//将索引对应的图片显示在内容区$li.addClass("show");//将非当前的图片不显示$li.siblings().removeClass("show");},function () {//这个有bug//删除移出的背景// $(this).removeClass("current");//删除移出的图片// //获取移入的索引,来找到图片// var index = $(this).index();// //根据索引找到对应图片// var $li = $(".content>li").eq(index);// //将索引对应的图片删除// $li.removeClass("show");});});</script><style>* {margin: 0%;padding: 0%;}.box {width: 440px;height: 300px;margin: 50px auto;border: 1px solid red;}.nav > li {cursor: pointer;list-style: none;float: left;width: 110px;height: 50px;background: orange;text-align: center;line-height: 50px;}.nav .current {background: #ccc;}li > img {width: 440px;height: 250px;}.content > li {list-style: none;float: left;display: none;}.content .show {display: inline-block;}</style></head><body><div class="box"><ul class="nav"><li class="current">c语言</li><li>c++语言</li><li>java语言</li><li>python语言</li></ul><ul class="content"><li class="show"><img src="../image/images (1).jpg" alt="" /></li><li><img src="../image/images.jpg" alt="" /></li><li><img src="../image/1.jpg" alt="" /></li><li><img src="../image/010.jpg" alt="" /></li></ul></div></body>
</html>下面来说一下iframe常见的属性及理解
iframe常用属性:
1.frameborder:是否显示边框,1(yes),0(no)
2.height:框架作为一个普通元素的高度,建议在使用css设置。
3.width:框架作为一个普通元素的宽度,建议使用css设置。
4.name:框架的名称,window.frames[name]时专用的属性。
5.scrolling:框架的是否滚动。yes,no,auto。
6.src:内框架的地址,可以使页面地址,也可以是图片的地址。
7.srcdoc , 用来替代原来HTML body里面的内容。但是IE不支持,
8.sandbox: 对iframe进行一些列限制,IE10+支持
同域不同域的问题:
同域就是src的地址是在当前项目中,上面我的就是在同一个域中
不同域就是src的地址不是本项目中的地址例如src="www.baidu.com"就是不同域
在iframe中获取父级内容
window.parent 获取上一级的window对象,如果还是iframe则是该iframe的window对象
window.top 获取最顶级容器的window对象,即,就是你打开页面的文档
window.self 返回自身window的引用。可以理解 window===window.self(脑残)
获取iframe里的内容
主要的两个API就是contentWindow,和contentDocument
iframe.contentWindow, 获取iframe的window对象
iframe.contentDocument, 获取iframe的document对象
这两个API只是DOM节点提供的方式(即getELement系列对象)
var iframe = document.getElementById("iframe1");
var iwindow = iframe.contentWindow;
var idoc = iwindow.document;console.log("window",iwindow);//获取iframe的window对象console.log("document",idoc); //获取iframe的documentconsole.log("html",idoc.documentElement);//获取iframe的htmlconsole.log("head",idoc.head); //获取headconsole.log("body",idoc.body); //获取body
另外更简单的方式是,结合Name属性,通过window提供的frames获取.
<iframe src ="/index.html" id="ifr1" name="ifr1" scrolling="yes"><p>Your browser does not support iframes.</p>
</iframe>
<script type="text/javascript">console.log(window.frames['ifr1'].window);
console.dir(document.getElementById("ifr1").contentWindow);
</script>;
其实window.frames[‘ifr1’]返回的就是window对象,即
window.frames['ifr1']===window
iframe的轮询
话说在很久很久以前,我们实现异步发送请求是使用iframe实现的~!
怎么可能!!!
真的史料为证(自行google), 那时候为了不跳转页面,提交表单时是使用iframe提交的。现在,前端发展尼玛真快,websocket,SSE,ajax等,逆天skill的出现,颠覆了iframe, 现在基本上只能活在IE8,9的浏览器内了。 但是,宝宝以为这样就可以不用了解iframe了,而现实就是这么残酷,我们目前还需要兼容IE8+。所以,iframe 实现长轮询和长连接的trick 我们还是需要涉猎滴。
iframe长轮询
如果写过ajax的童鞋,应该知道,长轮询就是在ajax的readyState = 4的时,再次执行原函数即可。 这里使用iframe也是一样,异步创建iframe,然后reload, 和后台协商好, 看后台哥哥们将返回的信息放在,然后获取里面信息即可. 这里是直接放在body里.
var iframeCon = docuemnt.querySelector('#container'),text; //传递的信息var iframe = document.createElement('iframe'),iframe.id = "frame",iframe.style = "display:none;",iframe.name="polling",iframe.src="target.html";iframeCon.appendChild(iframe);iframe.onload= function(){var iloc = iframe.contentWindow.location,idoc = iframe.contentDocument;setTimeout(function(){text = idoc.getElementsByTagName('body')[0].textContent;console.log(text);iloc.reload(); //刷新页面,再次获取信息,并且会触发onload函数},2000);}
这样就可以实现ajax的长轮询的效果。 当然,这里只是使用reload进行获取,你也可以添加iframe和删除iframe的方式,进行发送信息,这些都是根据具体场景应用的。另外在iframe中还可以实现异步加载js文件,不过,iframe和主页是共享连接池的,所以还是很蛋疼的,现在基本上都被XHR和hard calllback取缔了,这里也不过多介绍了。
自适应iframe之蜜汁广告
网页为了赚钱,引入广告是很正常的事了。通常的做法就是使用iframe,引入广告地址就可以了,然后根据广告内容设置相应的显示框。但是,为什么是使用iframe来进行设置,而不是在某个div下嵌套就行了呢?
要知道,广告是与原文无关的,这样硬编码进去,会造成网页布局的紊乱,而且,这样势必需要引入额外的css和js文件,极大的降低了网页的安全性。 这些所有的弊端,都可以使用iframe进行解决。
我们通常可以将iframe理解为一个沙盒,里面的内容能够被top window 完全控制,而且,主页的css样式是不会入侵iframe里面的样式,这些都给iframe的广告命运埋下伏笔。可以看一下各大站点是否都在某处放了些广告,以维持生计比如:W3School
但,默认情况下,iframe是不适合做展示信息的,所以我们需要对其进行decorate.
自适应iframe
默认情况下,iframe会自带滚动条,不会全屏.如果你想自适应iframe的话:第一步:去掉滚动条
<iframe src="./iframe1.html" id="iframe1" scrolling="no"></iframe>
第二步,设置iframe的高为body的高
var iwindow = iframe.contentWindow;
var idoc = iwindow.document;
iframe.height = idoc.body.offsetHeight;
另外还可以添加其他的装饰属性:
例如:
<iframe id="google_ads_frame2" name="google_ads_frame2" width="160" height="600" frameborder="0" src="target.html" marginwidth="0" marginheight="0" vspace="0" hspace="0" allowtransparency="true" scrolling="no" allowfullscreen="true"></iframe>
你可以直接写在内联里面,也可以在css里面定义,不过对于广告iframe来说,样式写在属性中,是best pratice.
iframe安全性探索
iframe出现安全性有两个方面,一个是你的网页被别人iframe,一个是你iframe别人的网页。 当你的网页被别人iframe时,比较蛋疼的是被钓鱼网站利用,然后victim+s留言逼逼你。真.简直了。 所以为了防止页面被一些不法分子利用,我们需要做好安全性措施。
防嵌套网页
比如,最出名的clickhacking就是使用iframe来 拦截click事件。因为iframe享有着click的最优先权,当有人在伪造的主页中进行点击的话,如果点在iframe上,则会默认是在操作iframe的页面。 所以,钓鱼网站就是使用这个技术,通过诱导用户进行点击,比如,设计一个"妹妹寂寞了"等之类的网页,诱导用户点击,但实际结果,你看到的不是"妹妹",而是被恶意微博吸粉。
所以,为了防止网站被钓鱼,可以使用window.top来防止你的网页被iframe.
if(window != window.top){window.top.location.href = correctURL;
}
这段代码的主要用途是限定你的网页不能嵌套在任意网页内。如果你想引用同域的框架的话,可以判断域名。
if (top.location.host != window.location.host) {top.location.href = window.location.href;
}
当然,如果你网页不同域名的话,上述就会报错。
所以,这里可以使用try…catch…进行错误捕获。如果发生错误,则说明不同域,表示你的页面被盗用了。可能有些浏览器这样写是不会报错,所以需要降级处理。
这时候再进行跳转即可.
try{top.location.hostname; //检测是否出错//如果没有出错,则降级处理if (top.location.hostname != window.location.hostname) { top.location.href =window.location.href;}
}
catch(e){top.location.href = window.location.href;
}
这只是浏览器端,对iframe页面的权限做出相关的设置。 我们还可以在服务器上,对使用iframe的权限进行设置.
X-Frame-Options
X-Frame-Options是一个相应头,主要是描述服务器的网页资源的iframe权限。目前的支持度是IE8+(已经很好了啊喂)有3个选项:
DENY:当前页面不能被嵌套iframe里,即便是在相同域名的页面中嵌套也不允许,也不允许网页中有嵌套iframe
SAMEORIGIN:iframe页面的地址只能为同源域名下的页面
ALLOW-FROM:可以在指定的origin url的iframe中加载
- X-Frame-Options: DENY
- 拒绝任何iframe的嵌套请求
- X-Frame-Options: SAMEORIGIN
- 只允许同源请求,例如网页为 foo.com/123.php,則 foo.com 底下的所有网页可以嵌入此网页,但是 foo.com
以外的网页不能嵌入 - X-Frame-Options: ALLOW-FROM http://s3131212.com
- 只允许指定网页的iframe请求,不过兼容性较差Chrome不支持
X-Frame-Options其实就是将前端js对iframe的把控交给服务器来进行处理。
//js
if(window != window.top){window.top.location.href = window.location.href;
}
//等价于
X-Frame-Options: DENY
//js
if (top.location.hostname != window.location.hostname) { top.location.href =window.location.href;
}
//等价于
X-Frame-Options: SAMEORIGIN
该属性是对页面的iframe进行一个主要限制,不过,涉及iframe的header可不止这一个,另外还有一个Content Security Policy, 他同样也可以对iframe进行限制,而且,他应该是以后网页安全防护的主流。
CSP之页面防护
和X-Frames-Options一样,都需要在服务器端设置好相关的Header. CSP 的作用, 真的是太大了,他能够极大的防止你的页面被XSS攻击,而且可以制定js,css,img等相关资源的origin,防止被恶意注入。不过他的兼容性,也是渣的一逼。目前支持Edge12+ 以及 IE10+。
而且目前市面上,流行的是3种CSP头,以及各种浏览器的兼容性
使用主要是在后端服务器上配置,在前端,我们可以观察Response Header 里是否有这样的一个Header:
Content-Security-Policy: default-src 'self'
这就表明,你的网页是启用CSP的。通常我们可以在CSP后配置各种指定资源路径,有
default-src,
script-src,
style-src,
img-src,
connect-src,
font-src,
object-src,
media-src,
sandbox,
child-src,
如果你未指定的话,则是使用default-src规定的加载策略.
默认配置就是同域: default-src “self”.
这里和iframe有一点瓜葛的就是 child-src 和 sandbox.
child-src就是用来指定iframe的有效加载路径。其实和X-Frame-Options中配置allow-origin是一个道理。不过,allow-origin 没有得到厂商们的支持。
而,sandbox其实就和iframe的sandbox属性(下文介绍),是一样一样的,他可以规定来源能够带有什么权限.
来个demo:
Content-Security-Policy: child-src 'self' http://example.com; sandbox allow-forms allow-same-origin
此时,iframe的src就只能加载同域和example.com页面。 最后再补充一点: 使用CSP 能够很好的防止XSS攻击,原理就是CSP会默认escape掉内联样式和脚本,以及eval执行。但是,你可以使用srcipt-src进行降低限制.
Content-Security-Policy: script-src 'unsafe-inline'
如果想更深入的了解CSP,可以参阅:CSP,中文CSP,H5rock之CSP
ok, 上面基本上就是防止自己页面被嵌套而做的一些安全防护工作。 当然,我们面临的安全问题还有一个,就是当iframe别人的页面时,我们需要对其进行安全设限,虽然,跨域时iframe的安全性会大很多,但是,互联网是没有安全的地方。在以前,我们会进行各种trick来防止自己的页面被污染,现在h5提供的一个新属性sandbox可以很好的解决这个问题。
sandbox
sandbox就是用来给指定iframe设置一个沙盒模型限制iframe的更多权限.
sandbox是h5的一个新属性,IE10+支持(md~).
启用方式就是使用sandbox属性:
<iframe sandbox src="..."></iframe>
这样会对iframe页面进行一系列的限制:
- script脚本不能执行
- 不能发送ajax请求
- 不能使用本地存储,即localStorage,cookie等
- 不能创建新的弹窗和window
- 不能发送表单
- 不能加载额外插件比如flash等
看到这里,我也是醉了。 好好的一个iframe,你这样是不是有点过分了。 不过,你可以放宽一点权限。在sandbox里面进行一些简单设置
<iframe sandbox="allow-same-origin" src="..."></iframe>
常用的配置项有:
可以通过在sandbox里,添加允许进行的权限.
<iframe sandbox="allow-forms allow-same-origin allow-scripts" src="..."></iframe>这样,就可以保证js脚本的执行,但是禁止iframe里的javascript执行top.location = self.location。
哎,其实,iframe的安全问题还是超级有的。比如location劫持,Refers检查等。 不过目前而言,知道怎么简单的做一些安全措施就over了,白帽子们会帮我们测试的。
resolve iframe跨域
iframe就是一个隔离沙盒,相当于我们在一个页面内可以操控很多个标签页一样。如果踩坑的童鞋应该知道,iframe的解决跨域也是很有套套的。
首先我们需要明确什么是跨域。
浏览器判断你跨没跨域,主要根据两个点。 一个是你网页的协议(protocol),一个就是你的host是否相同,即,就是url的首部:
window.location.protocol +window.location.host
需要强调的是,url首部必须一样,比如:二级域名或者IP地址,都算是跨域.
//域名和域名对应ip, 跨域
http://www.a.com/a.js
http://70.32.92.74/b.js
//统一域名,不同二级域名。 跨域
http://www.a.com/a.js
http://a.com/b.js
对于第二种方式的跨域(主域相同而子域不同),可以使用iframe进行解决。
在两个不同子域下(某一方使用iframe嵌套在另一方),
即:
http: //www.foo.com/a.html和http: //script.foo.com/b.html
两个文件中分别加上document.domain = ‘foo.com’,指定相同的主域,然后,两个文档就可以进行交互。
//b.html是以iframe的形式嵌套在a.html中
//www.foo.com上的a.html
document.domain = 'foo.com';
var ifr = document.createElement('iframe');
ifr.src = 'http://script.foo.com/b.html';
ifr.style.display = 'none';
document.body.appendChild(ifr);
ifr.onload = function(){var doc = ifr.contentDocument || ifr.contentWindow.document;// 在这里操纵b.htmlalert(doc.getElementsByTagName("h1")[0].childNodes[0].nodeValue);
};
//script.foo.com上的b.html
document.domain = 'foo.com';
默认情况下document.domain 是指window.location.hostname. 你可以手动更改,但是最多只能设置为主域名。 通常,主域名就是指不带www的hostname, 比如: foo.com , baidu.com 。 如果,带上www或者其他的前缀,就是二级域名或者多级域名。通过上述设置,相同的domain之后,就可以进行同域的相关操作。另外还可以使用iframe和location.hash,不过由于技术out了,这里就不做介绍了。
H5的CDM跨域与iframe
如果你设置的iframe的域名和你top window的域名完全不同。 则可以使用CDM(cross document messaging)进行跨域消息的传递。该API的兼容性较好 ie8+都支持.
发送消息: 使用postmessage方法
接受消息: 监听message事件
postmessage
该方法挂载到window对象上,即,使用window.postmessage()调用.
该方法接受两个参数:postMessage(message, targetOrigin):
message: 就是传递给iframe的内容, 通常是string,如果你想传object对象也可以。不过使用前请参考这一句话:
Objects listed in transfer are transferred, not just cloned, meaning that they are no longer usable on the sending side.
意思就是,希望亲爱的不要直接传Object。 如果有条件,可以使用是JSON.stringify进行转化。这样能保证不会出bug.
targetOrigin: 接受你传递消息的域名,可以设置绝对路径,也可以设置"“或者”/"。 表示任意域名都行,"/"表示只能传递给同域域名。
来个例子:
<iframe src="http://tuhao.com" name="sendMessage"></iframe>
//当前脚本
let ifr = window.frames['sendMessage'];//使用iframe的window向iframe发送message。
ifr.postmessage('give u a message', "http://tuhao.com");
//tuhao.com的脚本
window.addEventListener('message', receiver, false);
function receiver(e) {if (e.origin == 'http://tuhao.com') {if (e.data == 'give u a message') {e.source.postMessage('received', e.origin); //向原网页返回信息} else {alert(e.data);}}
}
当targetOrigin接受到message消息之后,会触发message事件。 message提供的event对象上有3个重要的属性,data,origin,source.
data:postMessage传递进来的值
origin:发送消息的文档所在的域
source:发送消息文档的window对象的代理,如果是来自同一个域,则该对象就是window,可以使用其所有方法,如果是不同的域,则window只能调用postMessage()方法返回信息
iframe和iframe实现页面内嵌套一个页面(jsp)相关推荐
- h5 跳转上个页面刷新_H5实现页面内跳转页面
W3School.com.cn 注释:由于链接的目标匹配 iframe 的名称,所以链接会在 iframe 中打开. 原文来源:http://www.w3school.com.cn JS实现页面内跳转 ...
- vue 页面不置顶问题(页面内操作、页面跳转后) - 集合篇
文章目录 vue 页面内切换dom,页面跳转后 都不置顶? 一.页面内操作: 1.1 代码如下: 二.页面之间跳转: 2.1 代码截图 · 说明: 2.2 增加代码 · 示下: 三.拓展 · (直接置 ...
- 从一个页跳到另一个页面,另一个页面检查第一个页面的信息。
任务:从一个页跳到另一个页面,另一个页面检查第一个页面的信息. 1.文件组成:w1.aspx(此页面从w1 class 继承而来),w1.aspx.cs(此文件中定义了class: w1) w2.as ...
- iframe子页面内刷新父页面中另一个iframe子页面
框架页面如下: <div id="aa" style="float: left; height: 500px; border-right-style: solid; ...
- 通过Iframe在A网站页面内嵌入空白页面的方式,跨域获取B网站的数据返回给A网站!...
以下代码只是为演示该方法具体是如何操作的,实际的意义并不大. 其实这个方法还可以解决很多方面的跨域操作,以下两点为我工作中遇到的情况! 比如A系统中打开B系统页面的时候,获取B系统页面高度,A系统中可 ...
- python爬虫如何从一个页面进入另一个页面-Python爬虫如何获取页面内所有URL链接?本文详解...
如何获取一个页面内所有URL链接?在Python中可以使用urllib对网页进行爬取,然后利用Beautiful Soup对爬取的页面进行解析,提取出所有的URL. 什么是Beautiful Soup ...
- JSP页面如何从一个页面传递一个参数到另外一个页面
(1).一种是重定向跳转,超连<a>就是一种重定向跳转,这样的跳转request对象是传不到下一个页面的,下一个页面得到的request对象是一个新的对象,而不是上一个页面传过来的就得不到 ...
- Axure从一个页面向另一个页面传值
效果:下图分别为:注册页.jpg,注册反馈页.jpg 步骤: 1.设置两个输入文本框,命名为name.address,一个按钮,命名为submit. 2.为name和address设置全局变量name ...
- 一个页面引入另一个页面
action代码片段 public String execute() {String ret = super.execute();if (RETURN_LIST.equals(ret)) {retur ...
最新文章
- 换晶振导致stm32串口数据飞码的解决办法(补充)
- IOS应用管理学习,进阶,涉及字典转模型,工厂方法,面向对象思想,页面布局等
- php商品状态精品 热销,ecshop商品列表,商品详细页,热销,精品,搜索列表页调用商品销售量(已销售数量)...
- sw如何缩放装配体_社团内训 | SW从入门到精通
- 利用IPC$空连接进行入侵及防范的方法
- 邮箱服务申请数字证书
- Android调用miui给权限,Android跳转至MIUI权限设置页面
- 简述P问题,NP问题,NP完全问题以及NP Hard问题
- GSM模块(SIM800L)收发短信 串口调试
- 遥感影像几何校正方法
- 二次型特征值的猜根法应用
- 大白菜超级U盘启动盘制作工具极速装机版
- 如何在直播中解决黑屏、花屏、闪屏问题 | 直播疑难杂症排查
- TextMesh pro插件的使用问题
- 美国国立卫生研究院(NIH)江晓芳组诚聘生物信息学博士后
- 使用apache log解决高并发下log4j引起大量线程block问题
- 欧洲杯第三周的比赛闲聊
- flutter 微信登录 包名不对,请检查包名是否与开放平台填写一致
- CTF writeup 1_网络安全实验室
- Activiti7系列课程1-快速入门