1、介绍
iframe标签用于定义框架。可以将其他html文档加载在其中,即一个html文档通过iframe标签嵌套一个或多个其他html文档。
2、指定加载
<iframe src=""></iframe>- 可用是相对路径,也可以是绝对路径
3、javascript伪协议
<iframe src="javascript:alert(/xss/)"></iframe>- javascript大小写敏感,不能简写,其后可以写入一条或多条js代码,注意分隔
- iframe的js伪协议是加载立即执行
4、width和height
默认的,iframe是一个小型的区域,可见,但是无法满足对视图的需求,需要手动设置width和height。
不足的部分,通过滚动条进行查看。
5、sandbox属性
用于限制iframe加载文档的动作,可选值:
- “”:启用所有限制条件
- allow-same-origin:允许将内容作为普通来源对待。如果未使用该关键字,嵌入的内容将被视为一个独立的源。
- allow-top-navigation:嵌入的页面的上下文可以导航(加载)内容到顶级的浏览上下文环境(browsing context)。如果未使用该关键字,这个操作将不可用。
- allow-forms:允许表单提交。
- allow-scripts:允许脚本执行。