iframe之谜

最新推荐文章于 2023-10-30 15:23:21 发布
最新推荐文章于 2023-10-30 15:23:21 发布
阅读量381 收藏
点赞数 1
分类专栏: 前端 文章标签: 前端 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41429333/article/details/123311325
版权

iframe篇

  1. 背景
    最近在做项目中使用了iframe,然后心血来潮对iframe起了歹念。这不结合自己使用的场景配上网上冲浪收集到的一些资料。就开始咣咣一顿炒作

  2. iframe基本使用和常用属性
    2.1.frameborder:是否显示边框,1(yes),0(no)
    2.2,height:框架作为一个普通元素的高度,建议在使用css设置
    2.3. width:框架作为一个普通元素的宽度,建议使用css设置
    2.4.name:框架的名称,window.frames[name]时专用的属性
    2.5.scrolling:框架的是否滚动。yes,no,auto
    2.6.src:内框架的地址,可以使页面地址,也可以是图片的地址
    使用:在这里插入图片描述

  3. 获取iframe中的内容(获取子级元素)
    第一种方式:主要的两个API就是contentWindow,和contentDocument
    iframe.contentWindow, 获取iframe的window对象
    iframe.contentDocument, 获取iframe的document对象
    在这里插入图片描述
    输出:
    在这里插入图片描述
    第二种方式:用name 属性来获取 window.ifames[name] 返回的是window对象

    <iframe id="iframeA" name="iframeA" src="./image1.png" frameborder="0"></iframe>

    输出:在这里插入图片描述

  4. 子界面获取父级的元素
    当然这是针对父子同源的情况
    window.parent 获取上一级的window对象,如果还是iframe则是该iframe的window对象
    window.top 获取最顶级容器的window对象,即,就是你打开页面的文档
    window.self 返回自身window的引用

  5. 通信
    4.1.同域的通信

    	4.1.1.子页面调用父页面方法和变量
	
	//调用父页面方法和变量
	
	window.parent.func(); //调用方法
	
	window.parent.value; //调用变量
	
	4.1.2.父页面调用子页面方法和变量
	
	//调用子页面方法和变量
	
	window.frames[iframe序号].func(); //调用方法
	
	window.frames[iframe序号].value; //调用变量

    4.2.不同域的通信

    	 发送消息: 使用postmessage方法 			接受消息: 监听message事件

    在这里插入图片描述
    在这里插入图片描述

  6. iframe 常使用的业务场景—嵌入式广告 自适应
    网页为了赚钱,引入广告是很正常的事了。通常的做法就是使用iframe,引入广告地址就可以了,然后根据广告内容设置相应的显示框。但是,为什么是使用iframe来进行设置,而不是在某个div下嵌套就行了呢?
    要知道,广告是与原文无关的,这样硬编码进去,会造成网页布局的紊乱,而且,这样势必需要引入额外的css和js文件,极大的降低了网页的安全性。 这些所有的弊端,都可以使用iframe进行解决。
    我们通常可以将iframe理解为一个沙盒,里面的内容能够被top window 完全控制,而且,主页的css样式是不会入侵iframe里面的样式,这些都给iframe的广告命运埋下伏笔。可以看一下各大站点是否都在某处放了些广告,以维持生计比如:W3School
    但,默认情况下,iframe是不适合做展示信息的,所以我们需要对其进行decorate.

  7. 如何防止自己的界面被嵌套
    6.1.前端:

    try{
  top.location.hostname;  //检测是否出错
  //如果没有出错,则降级处理
  if (top.location.hostname != window.location.hostname) { 
    top.location.href =window.location.href;
  }
}
catch(e){
  top.location.href = window.location.href;
}

    6.2.服务端:或者在服务器上面设置X-Frame-Options响应头。
    X-Frame-Options是一个相应头,主要是描述服务器的网页资源的iframe权限。目前的支持度是IE8+
    有三个选项:
    DENY:当前页面不能被嵌套iframe里,即便是在相同域名的页面中嵌套也不允许,也不允许网页中有嵌套iframe
    SAMEORIGIN:iframe页面的地址只能为同源域名下的页面
    ALLOW-FROM:可以在指定的origin url的iframe中加载
    X-Frame-Options: DENY
    拒绝任何iframe的嵌套请求
    X-Frame-Options: SAMEORIGIN
    只允许同源请求,例如网页为 foo.com/123.php,則 foo.com 底下的所有网页可以嵌入此网页,但是 foo.com 以外的网页不能嵌入
    X-Frame-Options: ALLOW-FROM http://s3131212.com
    只允许指定网页的iframe请求,不过兼容性较差Chrome不支持
    X-Frame-Options其实就是将前端js对iframe的把控交给服务器来进行处理。

朗朗向前冲
关注
专栏目录
NASA样本实验室之3D渲染图,一分钟搭建教程!3D 可视化 ThingJS
ThingJS的博客
10-28 1570
ThingJS在实现物理空间与信息空间的融合过程中,空间数据模型无疑是两者之间重要的联系纽带。 号外!美国宇航局(NASA)约翰逊航天中心向公众发布了目前正在建设中的实验室的渲染图,该实验室将用于研究小行星样本和其他 “宇宙之谜”。 按照计划,Bennu小行星样本将在2023年返回地球,到那时,约翰逊航天中心计划已经完成了实验室的建设,保证“研究材料到分子水平而不受损害”。除了建设实验室,这项工作还将包括新的工具、存储区和清洁设施。 本文就来解析一下,如何完成NASA样本实验室的3D渲染图? 一个实验室
selenium 后续来啦 ! ! !
weixin_45517799的博客
06-23 1479
selenium的后续来了,主要是在python里用的,所以看此文章需要一定的pthon基础(切记,切记,切记)与JS 的使用
iframe sameorigin 跨域问题
独碟的博客
08-23 6170
代码解决方法: 解决方法:在静态资源请求返回header头中设置X-Frame-Options 属性: deny 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 sameorigin 表示该页面可以在相同域名页面的 frame 中展示。 allow-fromuri 表示该页面可以在指定来源的 frame 中展示 ...
同源策略影响,使用nginx反向代理处理前后端跨域问题
健康平安的活着的专栏
02-04 4008
一.什么是同源策略 1.1 同源策略的概念 浏览器为了安全,制定了一套严格的访问机制,这种限制约束被业界称为同源策略。 同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。 同源策略会阻止一个域的javascript脚本和另外一个域的内容进行交互。 所谓同源(即指在同一个域)就是两个页面具有相同的协议(protocol),主机(h
nginx 响应头详解
speechless fish 的博客
05-19 4612
1、add_header X-Frame-Options SAMEORIGIN; # DENY 表示该页面不允许在frame中展示,即使在相同域名的页面中嵌套也不允许,SAMEORIGIN 表示该页面可以在相同域名页面的frame中展示,ALLOW-FROM url 表示该页面可以在指定来源的frame中展示 2、add_header X-Content-Type-Options: nosniff; 禁止服务器自动解析资源类型 3、add_header X-XSS-Protection "...
通过iframe嵌入三方系统时遇到的跨域问题及解决方案
_老逄
10-30 1万+
总结在iframe嵌入第三方系统时遇到的跨域访问问题
apache iis 使用HTTP 响应头信息中的 X-Frame-Options属性
IT技术宅-北方的刀郎
08-29 2128
原文:https://www.jb51.net/article/109436.htm 方法三:使用HTTP 响应头信息中的 X-Frame-Options属性 使用 X-Frame-Options 有三个可选的值: DENY:浏览器拒绝当前页面加载任何Frame页面SAMEORIGIN:frame页面的地址只能为同源域名下的页面ALLOW-FROM:origin为允许frame加载的页面地址...
在quill编辑器中集成秀米和135编辑器
front的博客
08-19 3414
1:问题&需求 大家知道,quill会自动过滤掉秀米和135编辑器文章里面的section之类的样式,导致复制进去的文章排版根本不能看。秀米官网声明只支持ueditor内核的编辑器内核。如果项目里用的编辑器不是ueditor内核的,而客户一定要秀米的功能,咋整?换编辑器?怼客户?换编辑器是不可能换的,这辈子都不可能换的。怼客户又不会,只能自己开发一个这样子。 ** 下面直接上成品,有兴趣的继续往下看,没兴趣直接拷贝仓库研究。 ** 示例地址: 在线预览 github仓库:https://gith
WinRAR(5.21)-0day漏洞-始末分析
h4ck0ne的博客
01-23 731
0x00 前言 上月底,WinRAR 5.21被曝出代码执行漏洞,Vulnerability Lab将此漏洞评为高危级,危险系数定为9(满分为10),与此同时安全研究人员Mohammad Reza Espargham发布了PoC,实现了用户打开SFX文件时隐蔽执行攻击代码,但是WinRAR官方RARLabs认为该功能是软件安装必备,没有必要发布任何修复补丁或升级版本。 本以为就此
网络安全面试题
fzx_hsaj的博客
02-12 6万+
在当今社会网络安全行业越来越发达,也有越来越多的人去学习,为了更好地进行工作,除了学好知识外还要应对企业的面试。 所以在这里我归总了一些网络安全方面的常见面试题,希望对大家有所帮助。 windows常见 1:描述tcp/udp的区别及优劣,及其发展前景 TCP—传输控制协议,提供的是面向连接、可靠的字节流服务。当客户和服务器彼此交换数据前,必须先在双方之间建立一个TCP连接,之后才能...
关于iframe页面报错如何跳到框架显示
03-05
关于iframe页面报错如何跳到框架显示,c# js两种
iframe-to-png:用于从iframe制作屏幕截图的Node程序
05-25
iframe转换为png 该程序使用npm-puppeteer puppeteer制作html页面(在我们的用例中,我们使用iframe)的屏幕截图。 正在将iframe转换为png 运行npm install (可选)将index.html中的iframe替换为目标iframe 在一个终端选项卡中,运行node index.js 。 这将在浏览器中提供html。 在第二个终端选项卡中,运行node puppeteer.js 。 此命令启动创建屏幕快照的puppeteer,并将屏幕快照保存在root目录中,例如example.png
知识点补充(跨域,Cookie和session,分布式系统状态管理,单点登录(SSO)的实现机制)
windyjcy的博客
08-25 504
跨域 跨域的三种方法 出于浏览器的同源策略限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。同源策略会阻止一个域的javascript脚本和另外一个域的内容进行交互。所谓同源(即指在同一个域)就是两个页面具有相同的协议(protocol),主机(host)和端口号(port) 1.代理 代理其实没跨域 比如要访问一个域名,user
.NET MVC Iframe 'X-Frame-Options' to 'SAMEORIGIN' 解决办法
feng005211的专栏
01-07 1万+
今天做到两个系统的登录,想使用淘宝的办法,做个Iframe登录框,保持信息一致。 然后出现了Refused to display 'http://xxx.xxx.com' in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN'. 证明此页面不能被Iframe,因为以前处理过此情况(当初走了特别多的弯路)
iframe 内联加载
qq_36521848的博客
12-16 781
iframe 内联加载 ,通过iframe特性,加载网页到当前网页中。
使用4中方式解决Same-Origin Policy
缺项目
05-20 2884
了解什么是Origin:URI的协议,主机名和端口号的组合。1.启用CORS的后端2.通过命令行标志禁用网络安全性来克服同源策略问题--disable-web-security --user-data-dir (需重启)3. 下载插件 ALLOW-CONTROL-ALLOW-ORIGIN:*4. 在线web ide 配置destination ,然后在neo-app.json ...
关于HTTP头部信息X-Frame-Options的问题-防止网站被人嵌套
lyj1101066558的博客
05-05 2万+
有时候为了防止网页被别人的网站iFrame,我们可以通过在服务器设置HTTP头部中的X-Frame-Options信息 使用 X-Frame-Options 有三个可选的值: DENY:浏览器拒绝当前页面加载任何Frame页面 SAMEORIGIN:frame页面的地址只能为同源域名下的页面 ALLOW-FROM:origin为允许frame加载的页面地址 说到这里肯定会问我设置方法,请
in a frame because it set 'X-Frame-Options' to 'sameorigin'
热门推荐
mxh的博客
02-12 7万+
我是打算在php网站中的一个HTML文件使用iframe标签调用django网站时遇到的问题,这句话说得好像有点繁琐,就是使用iframe时遇到的问题。查了很多相关资料,又说php网站的,有说html中没有设置,有说apache中需要配置,我全部尝试一遍之后都没有解决,后知后觉,发现django中间件问题。先了解一下背景知识。 1.同源策略 什么叫同源? URL由协议、域名、端口和路径组成,...
iframe之上控件值
最新发布
07-05
获取 iframe 上面控件(如按钮、文本框等)的值通常涉及到 JavaScript 和 DOM 操作。以下是一个基本步骤来实现这个功能: 1. **定位 iframe**:首先,你需要找到嵌入页面中的 iframe,可以通过其 ID 或者 class 来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值