两个路由器做双网站,安卓程序开发用什么软件,网站都去哪里找,国际贸易网站大全iframe基本内涵 通常我们使用iframe直接直接在页面嵌套iframe标签指定src就可以了。 iframe srcdemo_iframe_sandbox.htm/iframe 但是#xff0c;有追求的我们#xff0c;并不是想要这么low的iframe. 我们来看看在iframe中还可以设置些什么属…iframe基本内涵 通常我们使用iframe直接直接在页面嵌套iframe标签指定src就可以了。 iframe srcdemo_iframe_sandbox.htm/iframe 但是有追求的我们并不是想要这么low的iframe. 我们来看看在iframe中还可以设置些什么属性 //iframe常用属性: //1.frameborder:是否显示边框1(yes),0(no) //2.height:框架作为一个普通元素的高度建议在使用css设置。 //3.width:框架作为一个普通元素的宽度建议使用css设置。 //4.name:框架的名称window.frames[name]时专用的属性。 //5.scrolling:框架的是否滚动。yes,no,auto。 //6.src内框架的地址可以使页面地址也可以是图片的地址。 //7.srcdoc , 用来替代原来HTML body里面的内容。但是IE不支持, 不过也没什么卵用 //8.sandbox: 对iframe进行一些列限制IE10支持 上面一些tag会在下文进行穿插说明单个不好说。 我们通常使用iframe最基本的特性就是能自由操作iframe和父框架的内容(DOM). 但前提条件是同域. 如果跨域顶多只能实现页面跳转window.location.href. 那什么是同域/ 什么是跨域呢? 就是判断你的url首部是否一样下面会有讲解这里只是提及。 同域不同域的问题 A:iframe idmainIframe namemainIframe src/main.html frameborder0 scrollingauto /iframe B:iframe idmainIframe namemainIframe srchttp://www.baidu.com frameborder0 scrollingauto /iframe 使用A时因为同域父页面可以对子页面进行改写,反之亦然。 使用B时不同域父页面没有权限改动子页面,但可以实现页面的跳转 这里我们先从简单的开始当主页面和iframe同域时我们可以干 些什么。 获取iframe里的内容 主要的两个API就是contentWindow,和contentDocument iframe.contentWindow, 获取iframe的window对象 iframe.contentDocument, 获取iframe的document对象 这两个API只是DOM节点提供的方式(即getELement系列对象) var iframe document.getElementById(iframe1); var iwindow iframe.contentWindow; var idoc iwindow.document;console.log(window,iwindow);//获取iframe的window对象console.log(document,idoc); //获取iframe的documentconsole.log(html,idoc.documentElement);//获取iframe的htmlconsole.log(head,idoc.head); //获取headconsole.log(body,idoc.body); //获取body 另外更简单的方式是结合Name属性通过window提供的frames获取. iframe src /index.html idifr1 nameifr1 scrollingyespYour browser does not support iframes./p /iframescript typetext/javascriptconsole.log(window.frames[ifr1].window);console.dir(document.getElementById(ifr1).contentWindow); /script 其实window.frames[ifr1]返回的就是window对象即 window.frames[ifr1]window 这里就看你想用哪一种方式获取window对象两者都行不过本人更倾向于第二种使用frames[xxx].因为字母少啊喂~ 然后你就可以操控iframe里面的DOM内容。 在iframe中获取父级内容 同理在同域下父页面可以获取子iframe的内容那么子iframe同样也能操作父页面内容。在iframe中可以通过在window上挂载的几个API进行获取. window.parent //获取上一级的window对象如果还是iframe则是该iframe的window对象 window.top //获取最顶级容器的window对象即就是你打开页面的文档 window.self //返回自身window的引用。可以理解 windowwindow.self(脑残) iframe的轮询 话说在很久很久以前我们实现异步发送请求是使用iframe实现的~! 怎么可能!!! 真的史料为证(自行google), 那时候为了不跳转页面提交表单时是使用iframe提交的。现在前端发展尼玛真快websocket,SSE,ajax等逆天skill的出现颠覆了iframe, 现在基本上只能活在IE8,9的浏览器内了。 但是宝宝以为这样就可以不用了解iframe了,而现实就是这么残酷我们目前还需要兼容IE8。所以iframe 实现长轮询和长连接的trick 我们还是需要涉猎滴。 iframe长轮询 如果写过ajax的童鞋应该知道长轮询就是在ajax的readyState 4的时再次执行原函数即可。 这里使用iframe也是一样异步创建iframe然后reload, 和后台协商好, 看后台哥哥们将返回的信息放在,然后获取里面信息即可. 这里是直接放在body里. var iframeCon docuemnt.querySelector(#container),text; //传递的信息var iframe document.createElement(iframe),iframe.id frame,iframe.style display:none;,iframe.namepolling,iframe.srctarget.html;iframeCon.appendChild(iframe);iframe.onload function(){var iloc iframe.contentWindow.location,idoc iframe.contentDocument;setTimeout(function(){text idoc.getElementsByTagName(body)[0].textContent;console.log(text);iloc.reload(); //刷新页面,再次获取信息并且会触发onload函数},2000);} 这样就可以实现ajax的长轮询的效果。 当然这里只是使用reload进行获取你也可以添加iframe和删除iframe的方式进行发送信息这些都是根据具体场景应用的。另外在iframe中还可以实现异步加载js文件不过iframe和主页是共享连接池的所以还是很蛋疼的现在基本上都被XHR和hard calllback取缔了这里也不过多介绍了。 自适应iframe之蜜汁广告 网页为了赚钱引入广告是很正常的事了。通常的做法就是使用iframe引入广告地址就可以了然后根据广告内容设置相应的显示框。但是为什么是使用iframe来进行设置而不是在某个div下嵌套就行了呢 要知道广告是与原文无关的这样硬编码进去会造成网页布局的紊乱,而且,这样势必需要引入额外的css和js文件极大的降低了网页的安全性。 这些所有的弊端都可以使用iframe进行解决。  我们通常可以将iframe理解为一个沙盒里面的内容能够被top window 完全控制而且主页的css样式是不会入侵iframe里面的样式这些都给iframe的广告命运埋下伏笔。可以看一下各大站点是否都在某处放了些广告以维持生计比如:W3School 但默认情况下iframe是不适合做展示信息的所以我们需要对其进行decorate. 自适应iframe 默认情况下iframe会自带滚动条不会全屏.如果你想自适应iframe的话:第一步去掉滚动条 iframe src./iframe1.html idiframe1 scrollingno/iframe 第二步,设置iframe的高为body的高 var iwindow iframe.contentWindow; var idoc iwindow.document; iframe.height idoc.body.offsetHeight; 另外,还可以添加其它的装饰属性: 属性效果allowtransparencytrue or false 是否允许iframe设置为透明默认为falseallowfullscreentrue or false 是否允许iframe全屏默认为false 看个例子: iframe idgoogle_ads_frame2 namegoogle_ads_frame2 width160 height600frameborder0 srctarget.html marginwidth0 marginheight0 vspace0 hspace0 allowtransparencytrue scrollingno allowfullscreentrue /iframe 你可以直接写在内联里面也可以在css里面定义不过对于广告iframe来说样式写在属性中是best pratice. iframe安全性探索 iframe出现安全性有两个方面一个是你的网页被别人iframe,一个是你iframe别人的网页。 当你的网页被别人iframe时比较蛋疼的是被钓鱼网站利用然后victims留言逼逼你。真.简直了。 所以为了防止页面被一些不法分子利用我们需要做好安全性措施。 防嵌套网页 比如最出名的clickhacking就是使用iframe来 拦截click事件。因为iframe享有着click的最优先权当有人在伪造的主页中进行点击的话如果点在iframe上则会默认是在操作iframe的页面。 所以钓鱼网站就是使用这个技术通过诱导用户进行点击比如设计一个妹妹寂寞了等之类的网页诱导用户点击但实际结果你看到的不是妹妹,而是被恶意微博吸粉。  所以为了防止网站被钓鱼可以使用window.top来防止你的网页被iframe. //iframe2.html if(window ! window.top){window.top.location.href correctURL; } 这段代码的主要用途是限定你的网页不能嵌套在任意网页内。如果你想引用同域的框架的话可以判断域名。 if (top.location.host ! window.location.host) {top.location.href window.location.href; } 当然如果你网页不同域名的话上述就会报错。 所以这里可以使用try...catch...进行错误捕获。如果发生错误则说明不同域表示你的页面被盗用了。可能有些浏览器这样写是不会报错所以需要降级处理。 这时候再进行跳转即可. try{top.location.hostname; //检测是否出错//如果没有出错则降级处理if (top.location.hostname ! window.location.hostname) { top.location.href window.location.href;} } catch(e){top.location.href window.location.href; } 这只是浏览器端对iframe页面的权限做出相关的设置。 我们还可以在服务器上对使用iframe的权限进行设置. X-Frame-Options X-Frame-Options是一个相应头主要是描述服务器的网页资源的iframe权限。目前的支持度是IE8(已经很好了啊喂)有3个选项: X-Frame-Options: DENY                          拒绝任何iframe的嵌套请求X-Frame-Options: SAMEORIGIN             只允许同源请求例如网页为 foo.com/123.php則 foo.com 底下的所有网页可以嵌入此网页但是 foo.com 以外的网页不能嵌入X-Frame-Options: ALLOW-FROM http://s3131212.com                 只允许指定网页的iframe请求不过兼容性较差Chrome不支持 X-Frame-Options其实就是将前端js对iframe的把控交给服务器来进行处理。 //js if(window ! window.top){window.top.location.href window.location.href; } //等价于 X-Frame-Options: DENY //js if (top.location.hostname ! window.location.hostname) { top.location.href window.location.href; } //等价于 X-Frame-Options: SAMEORIGIN 该属性是对页面的iframe进行一个主要限制不过涉及iframe的header可不止这一个另外还有一个Content Security Policy, 他同样也可以对iframe进行限制而且他应该是以后网页安全防护的主流。 CSP之页面防护 和X-Frames-Options一样都需要在服务器端设置好相关的Header. CSP 的作用 真的是太大了他能够极大的防止你的页面被XSS攻击而且可以制定js,css,img等相关资源的origin防止被恶意注入。不过他的兼容性也是渣的一逼。目前支持Edge12 以及 IE10。  而且目前市面上流行的是3种CSP头以及各种浏览器的兼容性   使用主要是在后端服务器上配置在前端我们可以观察Response Header 里是否有这样的一个Header: Content-Security-Policy: default-src self 这就表明你的网页是启用CSP的。通常我们可以在CSP后配置各种指定资源路径有 default-src, script-src, style-src, img-src, connect-src, font-src, object-src, media-src, sandbox, child-src, ... 如果你未指定的话则是使用default-src规定的加载策略. 默认配置就是同域: default-src self. 这里和iframe有一点瓜葛的就是 child-src 和 sandbox. child-src就是用来指定iframe的有效加载路径。其实和X-Frame-Options中配置allow-origin是一个道理。不过,allow-origin 没有得到厂商们的支持。 而sandbox其实就和iframe的sandbox属性下文介绍,是一样一样的他可以规定来源能够带有什么权限. 来个demo: Content-Security-Policy: child-src self http://example.com; sandbox allow-forms allow-same-origin 此时iframe的src就只能加载同域和example.com页面。 最后再补充一点: 使用CSP 能够很好的防止XSS攻击原理就是CSP会默认escape掉内联样式和脚本以及eval执行。但是你可以使用srcipt-src进行降低限制. Content-Security-Policy: script-src unsafe-inline 如果想更深入的了解CSP,可以参阅:CSP,中文CSP,H5rock之CSP ok, 上面基本上就是防止自己页面被嵌套而做的一些安全防护工作。 当然我们面临的安全问题还有一个就是当iframe别人的页面时我们需要对其进行安全设限虽然跨域时iframe的安全性会大很多但是互联网是没有安全的地方。在以前我们会进行各种trick来防止自己的页面被污染现在h5提供的一个新属性sandbox可以很好的解决这个问题。 sandbox sandbox就是用来给指定iframe设置一个沙盒模型限制iframe的更多权限. sandbox是h5的一个新属性,IE10支持(md~). 启用方式就是使用sandbox属性: iframe sandbox src.../iframe 这样会对iframe页面进行一系列的限制: 1. script脚本不能执行 2. 不能发送ajax请求 3. 不能使用本地存储即localStorage,cookie等 4. 不能创建新的弹窗和window 5. 不能发送表单 6. 不能加载额外插件比如flash等  看到这里我也是醉了。 好好的一个iframe你这样是不是有点过分了。 不过你可以放宽一点权限。在sandbox里面进行一些简单设置 iframe sandboxallow-same-origin src.../iframe 常用的配置项有: 配置效果allow-forms允许进行提交表单allow-scripts运行执行脚本allow-same-origin允许同域请求,比如ajax,storageallow-top-navigation允许iframe能够主导window.top进行页面跳转allow-popups允许iframe中弹出新窗口,比如,window.open,target_blankallow-pointer-lock在iframe中可以锁定鼠标主要和鼠标锁定有关 可以通过在sandbox里添加允许进行的权限. iframe sandboxallow-forms allow-same-origin allow-scripts src.../iframe 这样就可以保证js脚本的执行但是禁止iframe里的javascript执行top.location self.location。 哎其实iframe的安全问题还是超级有的。比如location劫持Refers检查等。 不过目前而言知道怎么简单的做一些安全措施就over了白帽子们会帮我们测试的。 resolve iframe跨域 iframe就是一个隔离沙盒相当于我们在一个页面内可以操控很多个标签页一样。如果踩坑的童鞋应该知道iframe的解决跨域也是很有套套的。 首先我们需要明确什么是跨域。 浏览器判断你跨没跨域主要根据两个点。 一个是你网页的协议(protocol)一个就是你的host是否相同即就是url的首部: window.location.protocol window.location.host 需要强调的是url首部必须一样比如:二级域名或者IP地址都算是跨域. //域名和域名对应ip, 跨域 http://www.a.com/a.js http://70.32.92.74/b.js //统一域名不同二级域名。 跨域 http://www.a.com/a.js http://a.com/b.js 对于第二种方式的跨域主域相同而子域不同,可以使用iframe进行解决。 在两个不同子域下(某一方使用iframe嵌套在另一方) 即: http: //www.foo.com/a.html和http: //script.foo.com/b.html 两个文件中分别加上document.domain ‘foo.com’,指定相同的主域然后,两个文档就可以进行交互。 //b.html是以iframe的形式嵌套在a.html中 //www.foo.com上的a.html document.domain foo.com; var ifr document.createElement(iframe); ifr.src http://script.foo.com/b.html; ifr.style.display none; document.body.appendChild(ifr); ifr.onload function(){var doc ifr.contentDocument || ifr.contentWindow.document;// 在这里操纵b.htmlalert(doc.getElementsByTagName(h1)[0].childNodes[0].nodeValue); }; //script.foo.com上的b.html document.domain foo.com; 默认情况下document.domain 是指window.location.hostname. 你可以手动更改但是最多只能设置为主域名。 通常主域名就是指不带www的hostname, 比如: foo.com , baidu.com 。 如果带上www或者其他的前缀就是二级域名或者多级域名。通过上述设置相同的domain之后就可以进行同域的相关操作。另外还可以使用iframe和location.hash不过由于技术out了这里就不做介绍了。 H5的CDM跨域与iframe 如果你设置的iframe的域名和你top window的域名完全不同。 则可以使用CDM(cross document messaging)进行跨域消息的传递。该API的兼容性较好 ie8都支持. 发送消息: 使用postmessage方法 接受消息: 监听message事件 postmessage 该方法挂载到window对象上即使用window.postmessage()调用. 该方法接受两个参数:postMessage(message, targetOrigin): message: 就是传递给iframe的内容, 通常是string,如果你想传object对象也可以。不过使用前请参考这一句话: Objects listed in transfer are transferred, not just cloned, meaning that they are no longer usable on the sending side.意思就是希望亲爱的不要直接传Object。 如果有条件可以使用是JSON.stringify进行转化。这样能保证不会出bug. targetOrigin: 接受你传递消息的域名可以设置绝对路径也可以设置或者/。 表示任意域名都行/表示只能传递给同域域名。 来个栗子: iframe srchttp://tuhao.com namesendMessage/iframe //当前脚本 let ifr window.frames[sendMessage];//使用iframe的window向iframe发送message。 ifr.postmessage(give u a message, http://tuhao.com); //tuhao.com的脚本 window.addEventListener(message, receiver, false); function receiver(e) {if (e.origin http://tuhao.com) {if (e.data give u a message) {e.source.postMessage(received, e.origin); //向原网页返回信息} else {alert(e.data);}} } 当targetOrigin接受到message消息之后,会触发message事件。 message提供的event对象上有3个重要的属性data,origin,source. datapostMessage传递进来的值 origin发送消息的文档所在的域 source发送消息文档的window对象的代理如果是来自同一个域则该对象就是window可以使用其所有方法如果是不同的域则window只能调用postMessage()方法返回信息