跳到主要内容

iframe

2023年03月14日
柏拉文
越努力,越幸运

一、认识

HTML 内联框架元素 (<iframe>) 表示嵌套的browsing context。它能够将另一个 HTML 页面嵌入到当前页面中。

每个嵌入的浏览上下文(embedded browsing context)都有自己的会话历史记录 (session history)和DOM 树。包含嵌入内容的浏览上下文称为_父级浏览上下文_。顶级浏览上下文(没有父级)通常是由 Window 对象表示的浏览器窗口。

二、语法

<iframe></iframe>

三、属性

3.1 allow

allow 用于为<iframe>指定其特征策略.

3.2 allowfullscreen

allowfullscreen 设置为true时,可以通过调用 <iframe>requestFullscreen() 方法激活全屏模式。

提示

这是一个历史遗留属性,已经被重新定义为 allow="fullscreen"

3.3 allowpaymentrequest

allowpaymentrequest 设置为true时,跨域的 <iframe> 就可以调用 Payment Request API

提示

这是一个历史遗留属性,已经被重新定义为 allow="payment"

3.4 csp

csp 对嵌入的资源配置内容安全策略。查看 HTMLIFrameElement.csp (en-US) 获取详情。

3.5 height

CSS 像素格式,或像素格式,或百分比格式指定 frame 的高度。默认值为150

3.6 importance

表示 <iframe>src 属性指定的资源的加载优先级。

语法

<iframe importance="importance"></iframe>

  • importance:

    • auto (default): 不指定优先级。浏览器根据自身情况决定资源的加载顺序

    • high: 资源的加载优先级较高

    • low: 资源的加载优先级较低

3.7 name

用于定位嵌入的浏览上下文的名称。该名称可以用作 <a> 标签与 <form> 标签的 target 属性值,也可以用作 <input> 标签和 <button> 标签的 formtarget 属性值,还可以用作 window.open() 方法的 windowName 参数值。

3.8 referrerpolicy

表示在获取 iframe 资源时如何发送 referrer 首部

<iframe referrerpolicy="referrerpolicy"></iframe>

  • referrerpolicy:

    • no-referrer: 不发送 Referer 首部。

    • no-referrer-when-downgrade (default): 向不受 TLS (HTTPS) 保护的origin发送请求时,不发送 Referer 首部。

    • origin: referrer 首部中仅包含来源页面的源。换言之,仅包含来源页面的 scheme, host, 以及 port (en-US)

    • origin-when-cross-origin: 发起跨域请求时,仅在 referrer 中包含来源页面的源。发起同源请求时,仍然会在 referrer 中包含来源页面在服务器上的路径信息。

    • same-origin: 对于 same origin(同源)请求,发送 referrer 首部,否则不发送。

    • strict-origin: 仅当被请求页面和来源页面具有相同的协议安全等级时才发送 referrer 首部(比如从采用 HTTPS 协议的页面请求另一个采用 HTTPS 协议的页面)。如果被请求页面的协议安全等级较低,则不会发送 referrer 首部(比如从采用 HTTPS 协议的页面请求采用 HTTP 协议的页面)。

    • strict-origin-when-cross-origin: 当发起同源请求时,在 referrer 首部中包含完整的 URL。当被请求页面与来源页面不同源但是有相同协议安全等级时(比如 HTTPS→HTTPS),在 referrer 首部中仅包含来源页面的源。当被请求页面的协议安全等级较低时(比如 HTTPS→HTTP),不发送 referrer 首部。

    • unsafe-url: 始终在 referrer首部中包含源以及路径(但不包括 fragment,密码,或用户名)。这个值是不安全的, 因为这样做会暴露受 TLS 保护的资源的源和路径信息。

  • sandbox: 该属性对呈现在 iframe 框架中的内容启用一些额外的限制条件。属性值可以为空字符串(这种情况下会启用所有限制),也可以是用空格分隔的一系列指定的字符串。

    • allow-downloads-without-user-activation: 允许在没有征求用户同意的情况下下载文件

    • allow-forms: 允许嵌入的浏览上下文提交表单。如果没有使用该关键字,则无法提交表单。

    • allow-modals: 允许嵌入的浏览上下文打开模态窗口

    • allow-orientation-lock: 允许嵌入的浏览上下文锁定屏幕方向(译者注:比如智能手机、平板电脑的水平朝向或垂直朝向)

    • allow-pointer-lock: 允许嵌入的浏览上下文使用 Pointer Lock API.

    • allow-popups: 允许弹窗 (例如 window.open, target="_blank", showModalDialog)。如果没有使用该关键字,相应的功能将自动被禁用。

    • allow-popups-to-escape-sandbox: 允许沙箱化的文档打开新窗口,并且新窗口不会继承沙箱标记。例如,安全地沙箱化一个广告页面,而不会在广告链接到的新页面中启用相同的限制条件。

    • allow-presentation: 允许嵌入的浏览上下文开始一个 presentation session (en-US)。

    • allow-same-origin: 如果没有使用该关键字,嵌入的浏览上下文将被视为来自一个独立的源,这将使 same-origin policy 同源检查失败。

    • allow-scripts: 允许嵌入的浏览上下文运行脚本(但不能创建弹窗)。如果没有使用该关键字,就无法运行脚本。

    • allow-storage-access-by-user-activation: 允许嵌入的浏览上下文通过 Storage Access API (en-US) 使用父级浏览上下文的存储功能。

    • allow-top-navigation: 允许嵌入的浏览上下文导航(加载)内容到顶级的浏览上下文。

    • allow-top-navigation-by-user-activation: 允许嵌入的浏览上下文在经过用户允许后导航(加载)内容到顶级的浏览上下文。

3.9 src

被嵌套的页面的 URL 地址。使用 about:blank 值可以嵌入一个遵从同源策略的空白页。在 Firefox(version 65 及更高版本)、基于 Chromium 的浏览器、Safari/iOS 中使用代码移除 iframesrc 属性(例如通过 Element.removeAttribute() )会导致 about:blank 被载入 frame

3.10 srcdoc

该属性是一段 HTML 代码,这些代码会被渲染到 iframe 中。如果浏览器不支持 srcdoc 属性,则会渲染 src 属性表示的内容。

3.11 width

CSS 像素格式,或以像素格式,或以百分比格式指定的 frame 的宽度。默认值是300

四、脚本

4.1 window.frames

内联的框架,就像 <frame> 元素一样,会被包含在 window.frames 伪数组(类数组的对象)中。

4.2 window.parent

在框架内部,脚本可以通过 window.parent 引用父窗口对象。

4.3 iframe.contentWindow

有了 DOM HTMLIFrameElement 对象,脚本可以通过 contentWindow 访问内联框架的 window 对象。

五、问题

5.1 如何防止页面被 Iframe 被嵌入?

1. 配置 CSP 指令: Content Security Policy (CSP) 是一个更为强大的网页安全策略,它不仅可以防止页面被嵌套,还可以帮助预防各种类型的攻击,例如XSS攻击。你可以通过设置 frame-ancestors 指令来指定哪些页面可以嵌套当前页面。请注意: 前端配置 Content-Security-Policy: frame-ancestors 是无效的。必须在 Nginx 或者服务端配置。如果你有权限修改当前页面的 CSP 指令, 你可以将需要允许的域名添加到 frame-ancestors 指令中。在你的例子中,添加你的 web 应用域名到 CSP 中可能是解决问题的一种方法。 Content Security Policy (CSP)X-Frame-Options 相比, 有更高的控制和配置能力。

Content-Security-Policy: frame-ancestors 'self' https://chat.baidu.com http://mirror-chat.baidu.com https://fj-chat.baidu.com https://hba-chat.baidu.com https://hbe-chat.baidu.com https://njjs-chat.baidu.com https://nj-chat.baidu.com https://hna-chat.baidu.com https://hnb-chat.baidu.com http://debug.baidu-int.com https://example.com;

2. 配置 X-Frame-Options 响应头: X-Frame-Options 响应头是用来给浏览器指示允许一个页面可否在 <frame><iframe><embed> 或者 <object> 中展现的标记。站点可以通过确保网站没有被嵌入到别人的站点里面,从而避免点击劫持攻击。X-Frame-Options 是一个 HTTP 响应头,用于控制网页是否允许被嵌套在 iframe 中。可以设置以下三个值之一:

  • DENY: 表示页面不能被任何 iframe 嵌套。

  • SAMEORIGIN: 表示只能由同源域名下的页面嵌套。

  • ALLOW-FROM uri: 表示页面可以被指定的源 uri 嵌套。

3. 通过 JavaScript 检查: 你可以使用 JavaScript 来检查当前页面是否在 iframe 中加载。如果页面被嵌套在不允许的环境中,可以通过脚本跳转或显示警告。

if (window.top !== window.self) {
    // 页面被嵌入在 iframe 中
    // 可以跳转到一个安全的页面,或显示警告
    window.top.location = window.location;
}

4. 通过 HTTP Referer 检测: 通过检查 HTTP 请求头中的 Referer 字段,你可以判断请求当前页面的来源。如果来源不是预期的域名,可以拒绝加载内容。

if (document.referrer.indexOf('https://trusted-site.com') !== 0) {
    // 如果 referrer 不属于信任的域名,进行跳转或其他处理
    window.location = "https://www.example.com";
}