Il iframe element incorpora altre pagine web direttamente nella pagina corrente. HTML5 introduce tre nuovi attributi a questo elemento per aiutare a risolvere i problemi di sicurezza e usabilità dell'HTML4 iframe implementazione.
L'attributo 'sandbox'
Il sandbox attributo del iframe element è un'utile funzione di sicurezza per gli iframe. Quando lo metti in un iframe elemento, l'agente utente non consente funzionalità che potrebbero presentare un rischio per la sicurezza del sito e dei suoi utenti.
Per esempio:
indica al browser di disabilitare tutte le funzionalità che potrebbero rappresentare un rischio per la sicurezza, quindi niente plug-in, moduli, script, collegamenti in uscita, biscotti, archiviazione locale e accesso alla pagina dello stesso sito.
Quindi, usando il sandbox i valori delle parole chiave, riattivare alcune delle funzionalità. Queste parole chiave sono:
- forme-consenti: Consenti l'invio del modulo.
- consentire-stessa-origine: Consenti agli script di accedere a contenuti come i cookie dallo stesso dominio di origine.
- consentire-script: consente l'esecuzione degli script in questo IFRAME.
- consentire-top-navigazione: consenti i collegamenti e gli script iframe al target "_top"
Non impostare entrambi i consentire-script e consentire-stessa-origine parole chiave insieme sullo stesso iframe. Se lo fai, la pagina incorporata può quindi rimuovere il sandbox attributo, negando i suoi vantaggi in termini di sicurezza.
L'attributo 'srcdoc'
Il srcdoc L'attributo offre al web designer un maggiore controllo sugli iframe e una maggiore sicurezza. Invece di collegarsi a una pagina web in un altro URL, il web designer inserisce l'HTML che deve essere visualizzato in un iframe dentro il srcdoc attributo.
Inserendo HTML creato da una fonte non attendibile, come un modulo, in un file iframe puoi sandbox il contenuto non attendibile e visualizzarlo ancora sulla pagina. I commenti sul blog sono un esempio. La maggior parte dei blog offre solo un numero limitato di tag HTML che i commentatori possono utilizzare nei propri commenti. Ma inserendo quei commenti in una sandbox iframe usando il srcdoc attributo, i commenti possono essere più robusti pur proteggendo il sito nel suo insieme.
Sicurezza e Iframe
I due attributi precedenti forniscono sicurezza per il tuo iframe elementi, ma non costituiscono una difesa contro tutti i siti dannosi. Se il sito dannoso può convincere i visitatori del tuo sito ad accedere direttamente al contenuto ostile (ad esempio digitando l'URL nel browser), possono comunque essere attaccati.
Se puoi, imposta il contenuto che si trova nella sandbox iframe come la text/html-sandboxed tipo MIME.
L'attributo "senza soluzione di continuità"
Il senza soluzione di continuità attributo è un attributo booleano che dice al browser di visualizzare il iframe come se fosse una parte del documento padre. Se vuoi il tuo iframe per visualizzare senza problemi, basta includere questo attributo nell'elemento:
Ma facendo il iframe seamless è più che solo l'aspetto, è anche il modo in cui la pagina interagisce con la cornice. Alcuni suggerimenti:
- Link nel iframe si aprirà nella finestra genitore a meno che il iframe la pagina ha l'obiettivo "_SELF" impostato.
- CSS nel iframe verrà aggiunto alla cascata dell'intero documento.
- L'elemento radice di iframe la pagina è considerata figlia del iframe.
- La larghezza e l'altezza del iframe sono impostati in modo simile a come altri elementi a livello di blocco sarebbe impostato.
- Quando il documento principale viene visualizzato da uno strumento di rendering vocale come uno screen reader, il iframe verrebbe letto senza annunciarlo come documento separato.
Qualsiasi script sul documento genitore influenzerebbe il iframe documento allo stesso modo. Ad esempio, se uno script elencava tutti i frame della pagina, i collegamenti nel iframe sarebbe anche elencato.
In altre parole, il senza soluzione di continuità attributo fa molto di più che rimuovere i bordi dal from iframe. Se hai intenzione di impostare un iframe per essere senza soluzione di continuità, dovresti essere molto sicuro dei contenuti in modo da non aggiungere alcun rischio per la sicurezza al tuo sito Web incorporando un sito dannoso.