摘要:通常我們可以在后配置各種指定資源路徑,有如果你未指定的話,則是使用規定的加載策略默認配置就是同域這里和有一點瓜葛的就是和就是用來指定的有效加載路徑。
某大咖說: "iframe是能耗最高的一個元素,請盡量減少使用"
某大牛說: "iframe安全性太差,請盡量減少使用"
...
wtf, 你們知不知道你們這樣澆滅了多少孩紙學習iframe的熱情和決心。 雖然,你們這樣說的我竟無法反駁,但是iframe強大功能是不容忽視的。 可以看看各大郵箱網站是否還在使用iframe,查查知乎iframe. iframe不死,我心不滅。現在給大家安利一下iframe.
通常我們使用iframe直接直接在頁面嵌套iframe標簽指定src就可以了。
但是,有追求的我們,并不是想要這么low的iframe. 我們來看看在iframe中還可以設置些什么屬性
iframe常用屬性: 1.frameborder:是否顯示邊框,1(yes),0(no) 2.height:框架作為一個普通元素的高度,建議在使用css設置。 3.width:框架作為一個普通元素的寬度,建議使用css設置。 4.name:框架的名稱,window.frames[name]時專用的屬性。 5.scrolling:框架的是否滾動。yes,no,auto。 6.src:內框架的地址,可以使頁面地址,也可以是圖片的地址。 7.srcdoc , 用來替代原來HTML body里面的內容。但是IE不支持, 不過也沒什么卵用 8.sandbox: 對iframe進行一些列限制,IE10+支持
上面一些tag,會在下文進行穿插說明,單個不好說。
我們通常使用iframe最基本的特性,就是能自由操作iframe和父框架的內容(DOM). 但前提條件是同域. 如果跨域頂多只能實現頁面跳轉window.location.href.
那什么是同域/ 什么是跨域呢?
就是判斷你的url首部是否一樣,下面會有講解,這里只是提及。
同域不同域的問題:
A: B:
使用A時,因為同域,父頁面可以對子頁面進行改寫,反之亦然。
使用B時,不同域,父頁面沒有權限改動子頁面,但可以實現頁面的跳轉
這里,我們先從簡單的開始,當主頁面和iframe同域時,我們可以干 些什么。
主要的兩個API就是contentWindow,和contentDocument
iframe.contentWindow, 獲取iframe的window對象
iframe.contentDocument, 獲取iframe的document對象
這兩個API只是DOM節點提供的方式(即getELement系列對象)
var iframe = document.getElementById("iframe1"); var iwindow = iframe.contentWindow; var idoc = iwindow.document; console.log("window",iwindow);//獲取iframe的window對象 console.log("document",idoc); //獲取iframe的document console.log("html",idoc.documentElement);//獲取iframe的html console.log("head",idoc.head); //獲取head console.log("body",idoc.body); //獲取body
實際情況如:
另外更簡單的方式是,結合Name屬性,通過window提供的frames獲取.
其實window.frames["ifr1"]返回的就是window對象,即
window.frames["ifr1"]===window
這里就看你想用哪一種方式獲取window對象,兩者都行,不過本人更傾向于第二種使用frames[xxx].因為,字母少啊喂~ 然后,你就可以操控iframe里面的DOM內容。
在iframe中獲取父級內容同理,在同域下,父頁面可以獲取子iframe的內容,那么子iframe同樣也能操作父頁面內容。在iframe中,可以通過在window上掛載的幾個API進行獲取.
window.parent 獲取上一級的window對象,如果還是iframe則是該iframe的window對象 window.top 獲取最頂級容器的window對象,即,就是你打開頁面的文檔 window.self 返回自身window的引用。可以理解 window===window.self(腦殘)
如圖: 來個栗子~
ok, 獲取了之后,我們就可以進行相關操作了。 在同域的iframe中,我們可以巧妙的使用iframe的黑科技來實現一些trick.
話說在很久很久以前,我們實現異步發送請求是使用iframe實現的~!
怎么可能!!!
真的史料為證(自行google), 那時候為了不跳轉頁面,提交表單時是使用iframe提交的。現在,前端發展尼瑪真快,websocket,SSE,ajax等,逆天skill的出現,顛覆了iframe, 現在基本上只能活在IE8,9的瀏覽器內了。 但是,寶寶以為這樣就可以不用了解iframe了,而現實就是這么殘酷,我們目前還需要兼容IE8+。所以,iframe 實現長輪詢和長連接的trick 我們還是需要涉獵滴。
如果寫過ajax的童鞋,應該知道,長輪詢就是在ajax的readyState = 4的時,再次執行原函數即可。 這里使用iframe也是一樣,異步創建iframe,然后reload, 和后臺協商好, 看后臺哥哥們將返回的信息放在,然后獲取里面信息即可. 這里是直接放在body里.
var iframeCon = docuemnt.querySelector("#container"), text; //傳遞的信息 var iframe = document.createElement("iframe"), iframe.id = "frame", iframe.style = "display:none;", iframe.name="polling", iframe.src="target.html"; iframeCon.appendChild(iframe); iframe.onload= function(){ var iloc = iframe.contentWindow.location, idoc = iframe.contentDocument; setTimeout(function(){ text = idoc.getElementsByTagName("body")[0].textContent; console.log(text); iloc.reload(); //刷新頁面,再次獲取信息,并且會觸發onload函數 },2000); }
這樣就可以實現ajax的長輪詢的效果。 當然,這里只是使用reload進行獲取,你也可以添加iframe和刪除iframe的方式,進行發送信息,這些都是根據具體場景應用的。另外在iframe中還可以實現異步加載js文件,不過,iframe和主頁是共享連接池的,所以還是很蛋疼的,現在基本上都被XHR和hard calllback取締了,這里也不過多介紹了。
自適應iframe之蜜汁廣告網頁為了賺錢,引入廣告是很正常的事了。通常的做法就是使用iframe,引入廣告地址就可以了,然后根據廣告內容設置相應的顯示框。但是,為什么是使用iframe來進行設置,而不是在某個div下嵌套就行了呢?
要知道,廣告是與原文無關的,這樣硬編碼進去,會造成網頁布局的紊亂,而且,這樣勢必需要引入額外的css和js文件,極大的降低了網頁的安全性。 這些所有的弊端,都可以使用iframe進行解決。
我們通常可以將iframe理解為一個沙盒,里面的內容能夠被top window 完全控制,而且,主頁的css樣式是不會入侵iframe里面的樣式,這些都給iframe的廣告命運埋下伏筆。可以看一下各大站點是否都在某處放了些廣告,以維持生計比如:W3School
但,默認情況下,iframe是不適合做展示信息的,所以我們需要對其進行decorate.
默認情況下,iframe會自帶滾動條,不會全屏.如果你想自適應iframe的話:
第一步:去掉滾動條
第二步,設置iframe的高為body的高
var iwindow = iframe.contentWindow; var idoc = iwindow.document; iframe.height = idoc.body.offsetHeight;
另外,還可以添加其它的裝飾屬性:
屬性 | 效果 |
---|---|
allowtransparency | true or false 是否允許iframe設置為透明,默認為false |
allowfullscreen | true or false 是否允許iframe全屏,默認為false |
看個例子:
你可以直接寫在內聯里面,也可以在css里面定義,不過對于廣告iframe來說,樣式寫在屬性中,是best pratice.
iframe安全性探索iframe出現安全性有兩個方面,一個是你的網頁被別人iframe,一個是你iframe別人的網頁。 當你的網頁被別人iframe時,比較蛋疼的是被釣魚網站利用,然后victim+s留言逼逼你。真.簡直了。 所以為了防止頁面被一些不法分子利用,我們需要做好安全性措施。
防嵌套網頁比如,最出名的clickhacking就是使用iframe來 攔截click事件。因為iframe享有著click的最優先權,當有人在偽造的主頁中進行點擊的話,如果點在iframe上,則會默認是在操作iframe的頁面。 所以,釣魚網站就是使用這個技術,通過誘導用戶進行點擊,比如,設計一個"妹妹寂寞了"等之類的網頁,誘導用戶點擊,但實際結果,你看到的不是"妹妹",而是被惡意微博吸粉。
所以,為了防止網站被釣魚,可以使用window.top來防止你的網頁被iframe.
//iframe2.html if(window != window.top){ window.top.location.href = correctURL; }
這段代碼的主要用途是限定你的網頁不能嵌套在任意網頁內。
如果你想引用同域的框架的話,可以判斷域名。
if (top.location.host != window.location.host) { top.location.href = window.location.href; }
當然,如果你網頁不同域名的話,上述就會報錯。
所以,這里可以使用try...catch...進行錯誤捕獲。如果發生錯誤,則說明不同域,表示你的頁面被盜用了。可能有些瀏覽器這樣寫是不會報錯,所以需要降級處理。
這時候再進行跳轉即可.
try{ top.location.hostname; //檢測是否出錯 //如果沒有出錯,則降級處理 if (top.location.hostname != window.location.hostname) { top.location.href =window.location.href; } } catch(e){ top.location.href = window.location.href; }
這只是瀏覽器端,對iframe頁面的權限做出相關的設置。
我們還可以在服務器上,對使用iframe的權限進行設置.
X-Frame-Options是一個相應頭,主要是描述服務器的網頁資源的iframe權限。目前的支持度是IE8+(已經很好了啊喂)
有3個選項:
DENY:當前頁面不能被嵌套iframe里,即便是在相同域名的頁面中嵌套也不允許,也不允許網頁中有嵌套iframe SAMEORIGIN:iframe頁面的地址只能為同源域名下的頁面 ALLOW-FROM:可以在指定的origin url的iframe中加載
簡單實例:
X-Frame-Options: DENY 拒絕任何iframe的嵌套請求 X-Frame-Options: SAMEORIGIN 只允許同源請求,例如網頁為 foo.com/123.php,則 foo.com 底下的所有網頁可以嵌入此網頁,但是 foo.com 以外的網頁不能嵌入 X-Frame-Options: ALLOW-FROM http://s3131212.com 只允許指定網頁的iframe請求,不過兼容性較差Chrome不支持
X-Frame-Options其實就是將前端js對iframe的把控交給服務器來進行處理。
//js if(window != window.top){ window.top.location.href = window.location.href; } //等價于 X-Frame-Options: DENY //js if (top.location.hostname != window.location.hostname) { top.location.href =window.location.href; } //等價于 X-Frame-Options: SAMEORIGIN
該屬性是對頁面的iframe進行一個主要限制,不過,涉及iframe的header可不止這一個,另外還有一個Content Security Policy, 他同樣也可以對iframe進行限制,而且,他應該是以后網頁安全防護的主流。
CSP之頁面防護和X-Frames-Options一樣,都需要在服務器端設置好相關的Header. CSP 的作用, 真的是太大了,他能夠極大的防止你的頁面被XSS攻擊,而且可以制定js,css,img等相關資源的origin,防止被惡意注入。不過他的兼容性,也是渣的一逼。目前支持Edge12+ 以及 IE10+。
而且目前市面上,流行的是3種CSP頭,以及各種瀏覽器的兼容性
使用主要是在后端服務器上配置,在前端,我們可以觀察Response Header 里是否有這樣的一個Header:
Content-Security-Policy: default-src "self"
這就表明,你的網頁是啟用CSP的。
通常我們可以在CSP后配置各種指定資源路徑,有
default-src, script-src, style-src, img-src, connect-src, font-src, object-src, media-src, sandbox, child-src, ...
如果你未指定的話,則是使用default-src規定的加載策略.
默認配置就是同域: default-src "self".
這里和iframe有一點瓜葛的就是 child-src 和 sandbox.
child-src就是用來指定iframe的有效加載路徑。其實和X-Frame-Options中配置allow-origin是一個道理。不過,allow-origin 沒有得到廠商們的支持。
而,sandbox其實就和iframe的sandbox屬性(下文介紹),是一樣一樣的,他可以規定來源能夠帶有什么權限.
來個demo:
Content-Security-Policy: child-src "self" http://example.com; sandbox allow-forms allow-same-origin
此時,iframe的src就只能加載同域和example.com頁面。 最后再補充一點: 使用CSP 能夠很好的防止XSS攻擊,原理就是CSP會默認escape掉內聯樣式和腳本,以及eval執行。但是,你可以使用srcipt-src進行降低限制.
Content-Security-Policy: script-src "unsafe-inline"
如果想更深入的了解CSP,可以參閱:CSP,中文CSP,H5rock之CSP
ok, 上面基本上就是防止自己頁面被嵌套而做的一些安全防護工作。 當然,我們面臨的安全問題還有一個,就是當iframe別人的頁面時,我們需要對其進行安全設限,雖然,跨域時iframe的安全性會大很多,但是,互聯網是沒有安全的地方。在以前,我們會進行各種trick來防止自己的頁面被污染,現在h5提供的一個新屬性sandbox可以很好的解決這個問題。
sandbox就是用來給指定iframe設置一個沙盒模型限制iframe的更多權限.
sandbox是h5的一個新屬性,IE10+支持(md~).
啟用方式就是使用sandbox屬性:
這樣會對iframe頁面進行一系列的限制:
1. script腳本不能執行 2. 不能發送ajax請求 3. 不能使用本地存儲,即localStorage,cookie等 4. 不能創建新的彈窗和window 5. 不能發送表單 6. 不能加載額外插件比如flash等
看到這里,我也是醉了。 好好的一個iframe,你這樣是不是有點過分了。 不過,你可以放寬一點權限。在sandbox里面進行一些簡單設置
常用的配置項有:
配置 | 效果 |
---|---|
allow-forms | 允許進行提交表單 |
allow-scripts | 運行執行腳本 |
allow-same-origin | 允許同域請求,比如ajax,storage |
allow-top-navigation | 允許iframe能夠主導window.top進行頁面跳轉 |
allow-popups | 允許iframe中彈出新窗口,比如,window.open,target="_blank" |
allow-pointer-lock | 在iframe中可以鎖定鼠標,主要和鼠標鎖定有關 |
可以通過在sandbox里,添加允許進行的權限.
這樣,就可以保證js腳本的執行,但是禁止iframe里的javascript執行top.location = self.location。
哎,其實,iframe的安全問題還是超級有的。比如location劫持,Refers檢查等。 不過目前而言,知道怎么簡單的做一些安全措施就over了,白帽子們會幫我們測試的。
iframe就是一個隔離沙盒,相當于我們在一個頁面內可以操控很多個標簽頁一樣。如果踩坑的童鞋應該知道,iframe的解決跨域也是很有套套的。
首先我們需要明確什么是跨域。
瀏覽器判斷你跨沒跨域,主要根據兩個點。 一個是你網頁的協議(protocol),一個就是你的host是否相同,即,就是url的首部:
window.location.protocol +window.location.host
具體的例子就是:
需要強調的是,url首部必須一樣,比如:二級域名或者IP地址,都算是跨域.
//域名和域名對應ip, 跨域 http://www.a.com/a.js http://70.32.92.74/b.js //統一域名,不同二級域名。 跨域 http://www.a.com/a.js http://a.com/b.js
對于第二種方式的跨域(主域相同而子域不同),可以使用iframe進行解決。
在兩個不同子域下(某一方使用iframe嵌套在另一方),
即:
http: //www.foo.com/a.html和http: //script.foo.com/b.html
兩個文件中分別加上document.domain = ‘foo.com’,指定相同的主域,然后,兩個文檔就可以進行交互。
//b.html是以iframe的形式嵌套在a.html中 //www.foo.com上的a.html document.domain = "foo.com"; var ifr = document.createElement("iframe"); ifr.src = "http://script.foo.com/b.html"; ifr.style.display = "none"; document.body.appendChild(ifr); ifr.onload = function(){ var doc = ifr.contentDocument || ifr.contentWindow.document; // 在這里操縱b.html alert(doc.getElementsByTagName("h1")[0].childNodes[0].nodeValue); }; //script.foo.com上的b.html document.domain = "foo.com";
默認情況下document.domain 是指window.location.hostname. 你可以手動更改,但是最多只能設置為主域名。 通常,主域名就是指不帶www的hostname, 比如: foo.com , baidu.com 。 如果,帶上www或者其他的前綴,就是二級域名或者多級域名。通過上述設置,相同的domain之后,就可以進行同域的相關操作。
另外還可以使用iframe和location.hash,不過由于技術out了,這里就不做介紹了。
如果你設置的iframe的域名和你top window的域名完全不同。 則可以使用CDM(cross document messaging)進行跨域消息的傳遞。該API的兼容性較好 ie8+都支持.
發送消息: 使用postmessage方法
接受消息: 監聽message事件
該方法掛載到window對象上,即,使用window.postmessage()調用.
該方法接受兩個參數:postMessage(message, targetOrigin):
message: 就是傳遞給iframe的內容, 通常是string,如果你想傳object對象也可以。不過使用前請參考這一句話:
Objects listed in transfer are transferred, not just cloned, meaning that they are no longer usable on the sending side.
意思就是,希望親愛的不要直接傳Object。 如果有條件,可以使用是JSON.stringify進行轉化。這樣能保證不會出bug.
targetOrigin: 接受你傳遞消息的域名,可以設置絕對路徑,也可以設置""或者"/"。 表示任意域名都行,"/"表示只能傳遞給同域域名。
來個栗子:
//當前腳本 let ifr = window.frames["sendMessage"]; //使用iframe的window向iframe發送message。 ifr.postmessage("give u a message", "http://tuhao.com"); //tuhao.com的腳本 window.addEventListener("message", receiver, false); function receiver(e) { if (e.origin == "http://tuhao.com") { if (e.data == "give u a message") { e.source.postMessage("received", e.origin); //向原網頁返回信息 } else { alert(e.data); } } }
當targetOrigin接受到message消息之后,會觸發message事件。 message提供的event對象上有3個重要的屬性,data,origin,source.
data:postMessage傳遞進來的值 origin:發送消息的文檔所在的域 source:發送消息文檔的window對象的代理,如果是來自同一個域,則該對象就是window,可以使用其所有方法,如果是不同的域,則window只能調用postMessage()方法返回信息
屬性的使用方法,如上頭那個demo 說的。 很貼切, 很完美~
finally iframeiframe的大概我們差不多了解了。 想說的是,iframe 在后面會越用越少的。但是應該是不會被w3c標準廢除的。到是前端的發展,真尼瑪太快了,每過一段時間,一個新工具,新技術的出現,好到是好,不過學的真心蛋疼。不過,我們要以一個大前端的姿態要求我們,md,現在不學,那什么時候學~
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/87699.html
摘要:前言在建立的過程中,往往需要對當前的測試樣例和注解進行驗證,比如檢查測試類是否含有非靜態內部類,測試類是否是的。的驗證機制非常精致而優美,在本次博客中我們就主要來談一談機制的實現。首先在中定義三個默認的類,如下。 前言 在建立Runner的過程中,往往需要對當前的測試樣例和注解進行驗證,比如檢查測試類是否含有非靜態內部類,測試類是否是Public的。Junit的驗證機制非常精致而優美...
摘要:下面讓我們來看一個例子上面就是一個最簡單的閉包。閉包的作用接下來來談談閉包的作用,初學者剛接觸時肯定是一臉懵逼,閉包的用處究竟是什么,下面就來談一談。同時也得感謝參考文章閉包的應用讓你分分鐘理解閉包閉包,懂不懂由你,反正我是懂了 昨天在看思否時,發現了一篇文章是關于JavaScript如何實現重載的,由于以前也和學長討論過JavaScript是否能夠重載,就點進去看了看,發現里面的兩個...
摘要:概念由來已久,今天再來談一談,是因為中有了新的優化。簡單的介紹下什么是。它已經為我們消除了副作用。而且我并沒有引入。即便根據文件大小,可能還有朋友持懷疑態度。因為最近才接觸。所以沒有在低版本的時候打包過。 Tree-Shaking概念由來已久,今天再來談一談,是因為webpack4中有了新的優化。簡單的介紹下什么是Tree-Shaking。 代碼不會被執行 if(false) { ...
閱讀 2283·2021-09-30 09:47
閱讀 2210·2021-09-26 09:55
閱讀 2938·2021-09-24 10:27
閱讀 1535·2019-08-27 10:54
閱讀 960·2019-08-26 13:40
閱讀 2486·2019-08-26 13:24
閱讀 2411·2019-08-26 13:22
閱讀 1720·2019-08-23 18:38