Nodweddion cynnwys, diogelwch a dylunio ar gyfer IFRAME
Mae'r elfen yn caniatáu ichi ymgorffori tudalennau Gwe eraill yn uniongyrchol i'ch tudalen We. Ond wrth ddefnyddio iframes mae rhai materion diogelwch a dylunio nad oeddent yn cael sylw yn HTML 4.01. Mae HTML5 yn dod â thri nodwedd newydd i'r elfen hon i helpu i fynd i'r afael â'r pryderon hyn:
Y Nodwedd Blwch Tywod
Mae priodwedd y blychau tywod o'r elfen IFRAME yn nodwedd ddiogelwch ddefnyddiol iawn o osramau. Pan fyddwch chi'n ei roi mewn elfen IFRAME, rydych chi'n cyfarwyddo'r asiant defnyddiwr i wrthod nodweddion a allai achosi risg diogelwch i'r safle a'i ddefnyddwyr.
Er enghraifft:
Yn dweud wrth y porwr i wrthod pob nodwedd a allai fod yn risg diogelwch. Yn benodol, ni cheir ychwanegion. Ni ellir cyflwyno ffurflenni. Ni fydd sscripts yn rhedeg ac ni chaniateir dolenni y tu allan i'r IFRAME. Yn olaf, ni chaniateir mynediad i gwcis, storfa leol a thudalennau eraill ar yr un parth (tarddiad).
Yna, gan ddefnyddio gwerthoedd yr allweddair blwch tywod, gallwch ail-alluogi rhai o'r nodweddion. Dyma'r geiriau allweddol hyn:
- ffurflenni caniatau-ffurflen cyflwyno ffurflen
- caniatáu sgriptiau gwreiddiol-darddiad i ddod o hyd i gynnwys fel cwcis o'r un parth tarddiad
- caniatáu-sgriptiau-sgriptiau atodol i'w rhedeg yn y IFRAME hwn
- caniatáu-top-navigation -allow'r cysylltiadau IFRAME a sgriptiau i'r targed _top
Nid syniad da yw gosod y sgriptiau caniatād a'r allweddeiriau tarddu o'r un fath gyda'i gilydd ar yr un IFRAME. Os gwnewch hyn, gall y dudalen fewnosod wedyn gael gwared â phriodoledd y blychau tywod, gan ddiffodd unrhyw fuddion diogelwch.
Nodwedd y srcdoc
Mae'r priodwedd srcdoc yn briodwedd sy'n rhoi mwy o reolaeth dros y seramau i'r dylunydd Gwe yn ogystal â mwy o ddiogelwch. Yn hytrach na chysylltu â dudalen We mewn URL gwahanol, mae'r dylunydd Gwe yn gosod yr HTML sydd i'w arddangos mewn IFRAME y tu mewn i'r briodwedd srcdoc.
Ar y dechrau, efallai y byddwch chi'n meddwl, "Sut mae hyn yn wahanol i roi'r HTML ar y dudalen?" Ac mewn rhai ffyrdd, nid yw'n hynod wahanol.
Ond mae'n rhaid i chi gadw mewn cof un o swyddogaethau'r elfen IFRAME, sef cadw data anhysbys ar wahân i weddill y safle.
Trwy osod HTML sy'n cael ei greu gan ffynhonnell anhysbys, fel ffurflen, i mewn i IFRAME, gallwch "blychau tywod" y cynnwys anhysbys a'i ddangos ar y dudalen. Mae sylwadau blog yn enghraifft. Dim ond nifer gyfyngedig o tagiau HTML sydd gan y rhan fwyaf o flogiau y gall sylwebwyr eu defnyddio yn eu sylwadau. Ond, trwy osod y sylwadau hynny mewn IFRAME tywodlwyd trwy ddefnyddio priodoldeb srcdoc, gall y sylwadau fod yn fwy cadarn tra'n dal i ddiogelu'r safle yn ei gyfanrwydd.
Diogelwch ac Iframes
Mae'r ddau nodwedd uchod yn darparu diogelwch ar gyfer eich elfennau IFRAME, ond nid ydynt yn brawf yn erbyn pob safle maleisus. Os yw'r safle maleisus yn gallu argyhoeddi defnyddiwr i gael mynediad i'r cynnwys hostel yn uniongyrchol (fel trwy deipio'r URL yn eu porwr) gallant barhau i gael eu hymosod arno.
Os yn bosibl, mae'n well gosod y cynnwys sydd yn y IFRAME tywodlwyd fel y math MIME testun / html-sandboxed.
Y Nodwedd di-dor
Mae'r priodoldeb di-dor yn briodoli boolean sy'n dweud wrth y porwr i arddangos yr IFRAME fel pe bai'n rhan o'r rhiant ddogfen. Os ydych am i'ch IFRAME arddangos yn ddi-dor, dim ond cynnwys y priodwedd hwn yn yr elfen:
Ond mae gwneud yr IFRAME yn ddi-dor yn fwy na dim ond yr olwg, dyna hefyd sut mae'r dudalen yn rhyngweithio â'r ffrâm. Er enghraifft:
- Bydd dolenni yn y IFRAME yn agor yn y rhiant ffenestr , oni bai bod y dudalen IFRAME wedi gosod y set _SELF.
- Bydd CSS yn yr IFRAME yn cael ei ychwanegu at rhaeadr y ddogfen gyfan.
- Ystyrir elfen wraidd y dudalen IFRAME yn blentyn i'r IFRAME.
- Mae lled ac uchder yr IFRAME wedi'u gosod mewn modd tebyg i'r modd y byddai elfennau lefel bloc eraill yn cael eu gosod.
- Pan welir y rhiant ddogfen gan offeryn rendro lleferydd fel darllenydd sgrin, byddai'r IFRAME yn cael ei ddarllen heb ei gyhoeddi fel dogfen ar wahân.
- Byddai unrhyw sgriptiau ar y ddogfen rhiant yn effeithio ar ddogfen IFRAME yn yr un modd. Er enghraifft, pe bai sgript yn rhestru'r holl fframiau ar y dudalen, byddai'r cysylltiadau yn y IFRAME hefyd yn cael eu rhestru.
Mewn geiriau eraill, mae'r priodwedd ddi-dor yn llawer mwy na dim ond tynnu'r ffiniau o'r IFRAME. Os ydych am osod IFRAME i fod yn ddi-dor, dylech fod yn sicr iawn o'r cynnwys fel na fyddwch yn ychwanegu unrhyw risg diogelwch i'ch gwefan trwy fewnosod safle maleisus.