Novos atributos HTML5 do elemento IFRAME
Três novos atributos melhoram a segurança deste elemento HTML versátil
DavidMartynHunt/Flickr/CCBY
o iframe elemento incorpora outras páginas da web diretamente na página atual.HTML5introduz três novos atributos para este elemento para ajudar a resolver as preocupações de segurança e usabilidade do HTML4 iframe implementação.
O atributo 'sandbox'
o caixa de areia atributo do iframe O elemento é um recurso de segurança útil para iframes. Ao colocá-lo em um iframe elemento, o agente do usuário não permite recursos que possam apresentar um risco de segurança para o site e seus usuários.
Por exemplo:
|_+_|instrui o navegador a não permitir todos os recursos que possam ser um risco de segurança - portanto, não há plug-ins, formulários, scripts, links de saída, biscoitos , armazenamento local e acesso à página no mesmo site.
Em seguida, usando o caixa de areia valores de palavras-chave, reative alguns dos recursos. Essas palavras-chave são:
- Links no iframe será aberto na janela pai, a menos que o iframe página tem o destino '_SELF' definido.
- CSS no iframe será adicionado à cascata de todo o documento.
- O elemento raiz do iframe página é considerada filha do iframe .
- A largura e a altura do iframe são definidos de forma semelhante a como outros elementos de nível de bloco seria definido.
- Quando o documento pai é visualizado por uma ferramenta de renderização de fala como um leitor de tela, o iframe seria lido sem anunciá-lo como um documento separado.
Não defina ambos os scripts de permissão e permitir-mesma-origem palavras-chave juntas no mesmo iframe . Se você fizer isso, a página incorporada pode remover o caixa de areia atributo, negando seus benefícios de segurança.
O atributo 'srcdoc'
o srcdoc atributo dá ao web designer mais controle sobre os iframes, bem como mais segurança. Em vez de vincular a uma página da Web em um URL , o web designer coloca o HTML que deve ser exibido em um iframe dentro de srcdoc atributo.
Ao colocar o HTML criado por uma fonte não confiável, como um formulário, em um iframe você pode sandbox o conteúdo não confiável e ainda exibi-lo na página. Os comentários do blog são um exemplo. A maioria dos blogs oferece apenas um número limitado de tags HTML que os comentadores podem usar em seus comentários. Mas ao colocar esses comentários em uma área restrita iframe usando o srcdoc atributo, os comentários podem ser mais robustos enquanto ainda protegem o site como um todo.
Segurança e Iframes
Os dois atributos acima fornecem segurança para o seu iframe elementos, mas eles não são uma defesa contra todos os sites maliciosos. Se o site malicioso puder convencer os visitantes do seu site a acessar o conteúdo hostil diretamente (como digitando a URL no navegador), eles ainda poderão ser atacados.
Se puder, defina o conteúdo que está na área restrita iframe Enquanto o text/html-sandboxed tipo MIME.
O atributo 'sem costura'
o desatado atributo é um atributo booleano que diz ao navegador para exibir o iframe como se fosse uma parte do documento pai. Se você quer o seu iframe para exibir perfeitamente, basta incluir este atributo no elemento:
|_+_|Mas fazendo o iframe sem costura é mais do que apenas a aparência, é também como a página interage com o quadro. Algumas dicas:
Quaisquer scripts no documento pai afetariam o iframe documento da mesma forma. Por exemplo, se um script listasse todos os quadros na página, os links no iframe também seria listado.
Em outras palavras, o desatado atributo faz muito mais do que apenas remover as bordas do iframe . Se você vai definir um iframe para ser perfeito, você deve ter muita certeza do conteúdo para não adicionar nenhum risco de segurança ao seu site incorporando um site malicioso.