表单标签和iframe标签的用法

今天来看一下表单标签和frame标签的用法。

1. 表单标签

表单（form）是用户输入信息与网页互动的一种形式。大多数情况下，用户提交的信息会发给服务器，比如网站的搜索栏就是表单。表单由一种或多种的小部件组成，比如输入框、按钮、单选框或复选框。这些小部件称为控件（controls）。

1.1 <form>

<form>标签用来定义一个表单，所有表单内容放到这个容器元素之中。

<!--表单的基本形式：-->
<form>
  <!-- 各种表单控件-->
</form>

下面是一个常见的例子：

<form action="https://example.com/api" method="post">
  <label for="POST-name">用户名：</label>
  <input id="POST-name" type="text" name="user">
  <input type="submit" value="提交">
</form>

运行结果：

上面代码就是一个表单，一共包含三个控件：一个<label>标签，一个文本输入框，一个提交按钮。其中，文本输入框的name属性是user，表示将向服务器发送一个键名为user的键值对，键值就是这个控件的value属性，等于用户输入的值。

用户在文本输入框里面，输入用户名，比如foobar，然后点击提交按钮，浏览器就会向服务器https://example.com/api发送一个 POST 请求，发送user=foobar这样一段数据。

<form>有以下属性。

• accept-charset：服务器接受的字符编码列表，使用空格分隔，默认与网页编码相同。
• action：服务器接收数据的 URL。
• autocomplete：如果用户没有填写某个控件，浏览器是否可以自动填写该值。它的可能取值分别为off（不自动填写）和on（自动填写）。
• method：提交数据的 HTTP 方法，可能的值有post（表单数据作为 HTTP 数据体发送），get（表单数据作为 URL 的查询字符串发送），dialog（表单位于<dialog>内部使用）。
• enctype：当method属性等于post时，该属性指定提交给服务器的 MIME 类型。可能的值为application/x-www-form-urlencoded（默认值），multipart/form-data（文件上传的情况），text/plain。
• name：表单的名称，应该在网页中是唯一的。注意，如果一个控件没有设置name属性，那么这个控件的值就不会作为键值对，向服务器发送。
• novalidate：布尔属性，表单提交时是否取消验证。
• target：在哪个窗口展示服务器返回的数据，可能的值有_self（当前窗口），_blank（新建窗口），_parent（父窗口），_top（顶层窗口），<iframe>标签的name属性（即表单返回结果展示在<iframe>窗口）。

还有form标签比较复杂些的属性enctype属性：

<form>表单的enctype属性，指定了采用 POST 方法提交数据时，浏览器给出的数据的 MIME 类型。该属性可以取以下值。

（1）application/x-www-form-urlencoded

application/x-www-form-urlencoded是默认类型，控件名和控件值都要转义（空格转为+号，非数字和非字母转为%HH的形式，换行转为CR LF），控件名和控件值之间用=分隔。控件按照出现顺序排列，控件之间用&分隔。

（2）multipart/form-data

multipart/form-data主要用于文件上传。这个类型上传大文件时，会将文件分成多块传送，每一块的 HTTP 头信息都有Content-Disposition属性，值为form-data，以及一个name属性，值为控件名。

Content-Disposition: form-data; name="mycontrol"

也就是说multipart/form-data的选项用于文件上传表单内部。

下面是一个文件上传的示例：

<form action="upload.php"
      enctype="multipart/form-data"
      method="post">
  用户名：<input type="text" name="submit-name"><br>
  文件：<input type="file" name="files" ><br>
  <input type="submit" value="上传"> <input type="reset" value="清除">
</form>

//upload.php
<?php
var_dump($_FILES);

对上传的文件进行抓包分析：

先看请求包:

可以清楚的看到，文件传输的时候启用了分块传输的形式。最上面使用请求头中的connect-type的multipart/form-data标识了传输文件格式，每个数据块的分割标志就是42081694116768520063196699319每个数据块的第一行是Content-Disposition，其中的name字段表示这个数据块的控件名，数据体则是该控件的数据值，比如第一个数据块的name属性是submit-name控件，数据体是该控件的值刚好没填。第二个数据块是控件files，由于该控件是上传文件，所以还要用filename属性给出文件名phpinfo.php，数据体是phpinfo.php的内容。

在观察响应包：

1.2 <input>

<input>标签是一个行内元素，用来接收用户的输入。它是一个单独使用的标签，没有结束标志。

它有多种类型，取决于type属性的值，默认值是text，表示一个输入框。

<input>
<!-- 等同于 -->
<input type="text">

上面代码会生成一个单行的输入框，用户可以在里面输入文本。

<input>的属性非常多，有些属性是某个类型专用的，放在下文的“类型”部分介绍。这里介绍一些所有类型的共同属性。

属性。

• autofocus：布尔属性，是否在页面加载时自动获得焦点。
• disabled：布尔属性，是否禁用该控件。一旦设置，该控件将变灰，用户可以看到，但是无法操作。
• form：关联表单的id属性。设置了该属性后，控件可以放置在页面的任何位置，否则只能放在<form>内部。
• list：关联的<datalist>的id属性，设置该控件相关的数据列表，详见后文。
• name：控件的名称，主要用于向服务器提交数据时，控件键值对的键名。注意，只有设置了name属性的控件，才会向服务器提交，不设置就不会提交。
• readonly：布尔属性，是否为只读。
• required：布尔属性，是否为必填。
• type：控件类型，详见下文。
• value：控件的值。

类型

type属性决定了<input>的形式。该属性可以取以下值。

（1）text

type="text"是普通的文本输入框，用来输入单行文本。如果用户输入换行符，换行符会自动从输入中删除。

<input type="text" id="name" name="name" required
       minlength="4" maxlength="8" size="10">
<!--限定输入内容为文本类型长度在4-8之间，输入框显示宽度为10-->

text输入框有以下配套属性。

• maxlength：可以输入的最大字符数，值为一个非负整数。
• minlength：可以输入的最小字符数，值为一个非负整数，且必须小于maxlength。
• pattern：用户输入必须匹配的正则表达式，比如要求用户输入4个～8个英文字符，可以写成pattern="[a-z]{4,8}"。如果用户输入不符合要求，浏览器会弹出提示，不会提交表单。
• placeholder：输入字段为空时，用于提示的示例值。只要用户没有任何字符，该提示就会出现，否则会消失。
• readonly：布尔属性，表示该输入框是只读的，用户只能看，不能输入。
• size：表示输入框的显示长度有多少个字符宽，它的值是一个正整数，默认等于20。超过这个数字的字符，必须移动光标才能看到。
• spellcheck：是否对用户输入启用拼写检查，可能的值为true或false。

（2）search

type="search"是一个用于搜索的文本输入框，基本等同于type="text"。某些浏览器会在输入的时候，在输入框的尾部显示一个删除按钮，点击就会删除所有输入，让用户从头开始输入。

示例:

 <form action="" method="post">
    <input type="search" id="mySearch" name="q" placeholder="输入搜索词……" required> 
    <input type="submit" value="搜索">
 </form>

（3）button

type="button"是没有默认行为的按钮，通常脚本指定click事件的监听函数来使用。

<input type="button" value="点击">

建议尽量不使用这个类型，而使用<button>标签代替，一则语义更清晰，二则<button>标签内部可以插入图片或其他 HTML 代码。

（4）submit

type="submit"是表单的提交按钮。用户点击这个按钮，就会把表单提交给服务器。

<input type="submit" value="提交">

如果不指定value属性，浏览器会在提交按钮上显示默认的文字，通常是Submit。

类型有以下配套属性，用来覆盖<form>标签的相应设置。

• formaction：提交表单数据的服务器 URL。
• formenctype：表单数据的编码类型。
• formmethod：提交表单使用的 HTTP 方法（get或post）。
• formnovalidate：一个布尔值，表示数据提交给服务器之前，是否要忽略表单验证。
• formtarget：收到服务器返回的数据后，在哪一个窗口显示。

（5）image

type="image"表示将一个图像文件作为提交按钮，行为和用法与type="submit"完全一致。

<input type="image" alt="登陆" src="login-button.png">

上面代码中，图像文件是一个可以点击的按钮，点击后会提交数据到服务器。
该类型有以下配套属性。

• alt：图像无法加载时显示的替代字符串。
• src：加载的图像 URL。
• height：图像的显示高度，单位为像素。
• width：图像的显示宽度，单位为像素。
• formaction：提交表单数据的服务器 URL。
• formenctype：表单数据的编码类型。
• formmethod：提交表单使用的 HTTP 方法（get或post）。
• formnovalidate：一个布尔值，表示数据提交给服务器之前，是否要忽略表单验证。
• formtarget：收到服务器返回的数据后，在哪一个窗口显示。

用户点击图像按钮提交时，会额外提交两个参数x和y到服务器，表示鼠标的点击位置，比如x=52&y=55。x是横坐标，y是纵坐标，都以图像左上角作为原点(0, 0)。如果图像按钮设置了name属性，比如name="position"，那么将以该值作为坐标的前缀，比如position.x=52&position.y=55。这个功能通常用来地图类型的操作，让服务器知道用户点击了地图的哪个部分。

（6）reset

type="reset"是一个重置按钮，用户点击以后，所有表格控件重置为初始值。

<input type="reset" value="重置">

如果不设置value属性，浏览器会在按钮上面加上默认文字，通常是Reset。

这个控件用处不大，用户点错了还会使得所有已经输入的值都被重置，建议不要使用。

（7）checkbox

type="checkbox"是复选框，允许选择或取消选择该选项。

<input type="checkbox" id="agreement" name="agreement" checked>
<label for="agreement">是否同意</label>

上面代码会在文字前面，显示一个可以点击的选择框，点击可以选中，再次点击可以取消。上面代码中，checked属性表示默认选中。

value属性的默认值是on。也就是说，如果没有设置value属性，以上例来说，选中复选框时，会提交agreement=on。如果没有选中，提交时不会有该项。

多个相关的复选框，可以放在<fieldset>里面。

<fieldset>
  <legend>你的兴趣</legend>
  <div>
    <input type="checkbox" id="coding" name="interest" value="coding">
    <label for="coding">编码</label>
  </div>
  <div>
    <input type="checkbox" id="music" name="interest" value="music">
    <label for="music">音乐</label>
  </div>
</fieldset>

上面代码中，如果用户同时选中两个复选框，提交的时候就会有两个name属性，比如interest=coding&interest=music。

（8）radio

type="radio"是单选框，表示一组选择之中，只能选中一项。单选框通常为一个小圆圈，选中时会被填充或突出显示。

<fieldset>
  <legend>性别</legend>
  <div>
    <input type="radio" id="male" name="gender" value="male">
    <label for="male">男</label>
  </div>
  <div>
    <input type="radio" id="female" name="gender" value="female">
    <label for="female">女</label>
  </div>
</fieldset>

上面代码中，性别只能在两个选项之中，选择一项。
注意，多个单选框的name属性的值，应该都是一致的。提交到服务器的就是选中的那个值。

该类型的配套属性如下。

• checked：布尔属性，表示是否默认选中当前项。
• value：用户选中该项时，提交到服务器的值，默认为on。

（9）email

type="email"是一个只能输入电子邮箱的文本输入框。表单提交之前，浏览器会自动验证是否符合电子邮箱的格式，如果不符合就会显示提示，无法提交到服务器。

<input type="email" pattern=".+@foobar.com" size="30" required>

上面代码会生成一个必填的文本框，只能输入后缀为foobar.com的邮箱地址。

该类型有一个multiple的布尔属性，一旦设置，就表示该输入框可以输入多个逗号分隔的电子邮箱。

<input id="emailAddress" type="email" multiple required>

（10）password

type="password"是一个密码输入框。用户的输入会被遮挡，字符通常显示星号（*）或点（·）。

<input type="password" id="pass" name="password"
           minlength="8" required>

浏览器对该类型输入框的显示，会有所差异。一种常见的处理方法是，用户每输入一个字符，先在输入框里面显示一秒钟，然后再遮挡该字符。

如果用户输入内容包含换行符（U+000A）和回车符（U+000D），浏览器会自动将这两个字符过滤掉。

该类型的配套属性如下。

• maxlength：可以输入的最大字符数。
• minlength：可以输入的最少字符数。
• pattern：输入必须匹配的正则表达式。
• placeholder：输入为空时的显示文本。
• readonly：布尔属性，该输入框是否只读。
• size：一个非负整数，表示输入框的显示长度为多少个字符。
• autocomplete：是否允许自动填充，可能的值有on（允许自动填充）、off（不允许自动填充）、current-password（填入当前网站保存的密码）、new-password（自动生成一个随机密码）。
• inputmode：允许用户输入的数据类型，可能的值有none（不使用系统输入法）、text（标准文本输入）、decimal（数字，包含小数）、numeric（数字0-9）等。

（11）file

type="file"是一个文件选择框，允许用户选择一个或多个文件，常用于文件上传。

<input type="file"
       id="avatar" name="avatar"
       accept="image/png, image/jpeg">

该类型有以下属性。

• accept：允许选择的文件类型，使用逗号分隔，可以使用 MIME 类型（比如image/jpeg），也可以使用后缀名（比如.doc），还可以使用audio/*（任何音频文件）、video/*（任何视频文件）、image/*（任何图像文件）等表示法。
• capture：用于捕获图像或视频数据的源，可能的值有user（面向用户的摄像头或麦克风），environment（外接的摄像头或麦克风）。
• multiple：布尔属性，是否允许用户选择多个文件。

（12）hidden

type="hidden"是一个不显示在页面的控件，用户无法输入它的值，主要用来向服务器传递一些隐藏信息。比如，CSRF 攻击会伪造表单数据，那么使用这个控件，可以为每个表单生成一个独一无二的隐藏编号，防止伪造表单提交。

<input id="prodId" name="prodId" type="hidden" value="xm234jq">

上面这个控件，页面上是看不见的。用户提交表单的时候，浏览器会将prodId=xm234jq发给服务器。

以上就是比较常见的input文件类型了。

2.iframe标签

<iframe>标签用于在网页里面嵌入其他网页。

2.1 基本用法

<iframe>标签生成一个指定区域，在该区域中嵌入其他网页。它是一个容器元素，如果浏览器不支持<iframe>，就会显示内部的子元素。

<iframe src="https://www.example.com"
        width="100%" height="500" frameborder="0"
        allowfullscreen sandbox>
  <p><a href="https://www.example.com">点击打开嵌入页面</a></p>
</iframe>

上面的代码在当前网页嵌入https://www.example.com，显示区域的宽度是100%，高度是500像素。如果当前浏览器不支持<iframe>，则会显示一个链接，让用户点击。

浏览器普遍支持<iframe>，所以内部的子元素可以不写。

<iframe>的属性如下：

• allowfullscreen：允许嵌入的网页全屏显示，需要全屏 API 的支持，请参考相关的 JavaScript 教程。
• frameborder：是否绘制边框，0为不绘制，1为绘制（默认值）。建议尽量少用这个属性，而是在 CSS 里面设置样式。
• src：嵌入的网页的 URL。
• width：显示区域的宽度。
• height：显示区域的高度。
• sandbox：设置嵌入的网页的权限，详见下文。
• importance：浏览器下载嵌入的网页的优先级，可以设置三个值。high表示高优先级，low表示低优先级，auto表示由浏览器自行决定。
• name：内嵌窗口的名称，可以用于<a>、<form>、<base>的target属性。
• referrerpolicy：请求嵌入网页时，HTTP 请求的Referer字段的设置。参见<a>标签的介绍。

2.2 sandbox属性

嵌入的网页默认具有正常权限，比如执行脚本、提交表单、弹出窗口等。如果嵌入的网页是其他网站的页面，你不了解对方会执行什么操作，因此就存在安全风险。为了限制<iframe>的风险，HTML 提供了sandbox属性，允许设置嵌入的网页的权限，等同于提供了一个隔离层，即“沙箱”。

sandbox可以当作布尔属性使用，表示打开所有限制。

<iframe src="https://www.example.com" sandbox>
</iframe>

sandbox属性可以设置具体的值，表示逐项打开限制。未设置某一项，就表示不具有该权限。

• allow-forms：允许提交表单。
• allow-modals：允许提示框，即允许执行window.alert()等会产生弹出提示框的 JavaScript 方法。
• allow-popups：允许嵌入的网页使用window.open()方法弹出窗口。
• allow-popups-to-escape-sandbox：允许弹出窗口不受沙箱的限制。
• allow-orientation-lock：允许嵌入的网页用脚本锁定屏幕的方向，即横屏或竖屏。
• allow-pointer-lock：允许嵌入的网页使用 Pointer Lock API，锁定鼠标的移动。
• allow-presentation：允许嵌入的网页使用 Presentation API。
• allow-same-origin：不打开该项限制，将使得所有加载的网页都视为跨域。
• allow-scripts：允许嵌入的网页运行脚本（但不创建弹出窗口）。
• allow-storage-access-by-user-activation：sandbox属性同时设置了这个值和allow-same-origin的情况下，允许<iframe>嵌入的第三方网页通过用户发起document.requestStorageAccess()请求，经由 Storage Access API 访问父窗口的 Cookie。
• allow-top-navigation：允许嵌入的网页对顶级窗口进行导航。
• allow-top-navigation-by-user-activation：允许嵌入的网页对顶级窗口进行导航，但必须由用户激活。
• allow-downloads-without-user-activation：允许在没有用户激活的情况下，嵌入的网页启动下载。

注意，不要同时设置allow-scripts和allow-same-origin属性，这将使得嵌入的网页可以改变或删除sandbox属性。

示例：让子页面抓取到父页面的cookie并对其进行弹窗(测试sandbox对于权限的控制)

父页面—》

<body>
    <div id="div">aaabbbccc</div>
    <iframe src="http://127.0.0.1/secbasic/a.html"
        width="100%" height="300" frameborder="1" >
    </iframe>
</body>
<script>
    document.cookie='username=kkkkk';
</script>

子页面—》

<body>
    <p>子网页内容显示</p>
</body>
<script>
    var div = document.getElementById('div');
    alert(document.cookie);
</script>

这里注意，因为跨域请求iframe标签默认是不支持的，故需要放开此权限，同时打开弹窗权限。

同源的判定方式:协议、host、端口均相同

测试：可以获取cookie

去掉权限后再次测试：不可以获取

去掉sandbox后再次测试：可以获取

结论：iframe默认子页面在父页面中获取的权限是所有，放到沙盒中会默认阻止其大部分功能。可以在沙盒属性中放开对应的权限，以保证iframe进来的网页的安全性。

2.3 loading属性

<iframe>指定的网页会立即加载，有时这不是希望的行为。<iframe>滚动进入视口以后再加载，这样会比较节省带宽。

loading属性可以触发<iframe>网页的懒加载。该属性可以取以下三个值。

• auto：浏览器的默认行为，与不使用loading属性效果相同。
• lazy：<iframe>的懒加载，即将滚动进入视口时开始加载。
• eager：立即加载资源，无论在页面上的位置如何。

<iframe src="https://example.com" loading="lazy"></iframe>

上面代码会启用<iframe>的懒加载。

有一点需要注意，如果<iframe>是隐藏的，则loading属性无效，将会立即加载。只要满足以下任一个条件，Chrome 浏览器就会认为<iframe>是隐藏的。

• <iframe>的宽度和高度为4像素或更小。
• 样式设为display: none或visibility: hidden。
• 使用定位坐标为负X或负Y，将<iframe>放置在屏幕外。