iframe嵌套页面传递参数（iframe嵌套其它网站页面及相关知识点详解）

在开发过程中会遇到需要 在一个页面中嵌套另外一个页面 
  
  
  
  
  
  
  
  ，就要使用到框架 标签
  
  
  
  
  
  
  
  
 ，然后指定src就可以了 
  
  
  
  
  
  
  
  。

基本语法：

<iframe src="需要展示的网站页面的URL"></iframe>

用法举例：

<!DOCTYPE html> <html lang="zh"> <head> <meta charset="utf-8"> <title>框架</title> </head> <body> <iframe src="https://www.csdn.net/?spm=1001.2101.3001.4476"></iframe> </body> </html>

运行后效果图：

但是我们需要更好看点的iframe. 我们来看看在iframe中还可以设置些什么属性 属性 值 frameborder 是否显示边框
 


 


 


 


 


 


 


 


，1(yes),0(no) height 框架作为一个普通元素的高度 
 
 
 
 
 
 
 
 ，建议在使用css设置 width 框架作为一个普通元素的宽度
   
   
   
   
   
   
   
   
 ，建议使用css设置
  
  
  
  
  
  
  
  
 。 name 框架的名称
 

 

 

 

 

 

 

 

，window.frames[name]时专用的属性
 


 


 


 


 


 


 


 


。 scrolling 框架的是否滚动 
 
 
 
 
 
 
 
 。yes,no,auto
   
   
   
   
   
   
   
   
 。 src 内框架的地址 

 

 

 

 

 

 

 

 ，可以使页面地址                 ，也可以是图片的地址
 

 

 

 

 

 

 

 

。 srcdoc 用来替代原来HTML body里面的内容 

 

 

 

 

 

 

 

 。 sandbox 对iframe进行一些列限制

 
 

 
 

 
 

 
 

 
 

 
 

 
 

 
 

，IE10+支持

附加说明

：

1. 当frameborder=“0                 ”















，表示关闭边框；frameborder=“1 
  
 
  
 
  
 
  
 
  
 
  
 
  
 
  
 
”                          ，表示有边框(默认=1)
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
，出于实用性方面的原因
























，最好不用设置该属性                 ，请使用 CSS 来应用边框样式和颜色                 。

2. 宽高可以是以像素计的高度值（比如 "100）
  
 
  
 
  
 
  
 
  
 
  
 
  
 
  
 
 ，也可以是以包含元素百分比计的高度值（比如 “20%
















”）
















，注意设置百分比的时候 
  
  
  
  
  
  
  
  ，它的父元素也就是外围必须要指定高度
  
  
  
  
  
  
  
  
 ，否则百分比不生效

 
 

 
 

 
 

 
 

 
 

 
 

 
 

 
 

。

3. scrolling默认的是auto
 


 


 


 


 


 


 


 


，也就是有滚动条















。如果要想隐藏iframe出现的滚动条 
 
 
 
 
 
 
 
 ，可以使用scrolling="no"隐藏滚动条                          。

iframe如何处理宽高和主页面不完美融合问题（calc（）方法） 内嵌页面的时候
   
   
   
   
   
   
   
   
 ，很容易发现内嵌页面很难和主页面完美融合
 

 

 

 

 

 

 

 

，那么我们在宽高方面需要用到calc方法：

从字面看我们可以把它理解为一个function函数
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
。其实calc就是英文单词calculate(计算)的缩写；它是一个css3新增的功能 

 

 

 

 

 

 

 

 ，可以用来指定元素的长度                 ，动态计算长度值
























。

<style> nav{ background-color: antiquewhite; height: 30px; } body,html{ height: 100%; } .ifr{ width: 100%; height: calc(100% - 30px); } </style> <body> <nav> <a href="">我是导航栏1</a> <a href="">我是导航栏2</a> <a href="">我是导航栏3</a> </nav> <!-- src 是嵌套页面的网址 --> <!-- frameborder是嵌套页面的一个边距 一般设置为0 --> <iframe src="./fuyemian.html" frameborder="0" class="ifr"></iframe> </body>

页面嵌套的效果如下：

我们通常使用iframe最基本的特性

 
 

 
 

 
 

 
 

 
 

 
 

 
 

 
 

，就是能自由操作iframe和父框架的内容(DOM). 但前提条件是同域. 如果跨域顶多只能实现页面跳转window.location.href.

那什么是同域/ 什么是跨域呢?

就是判断你的url首部是否一样















，下面会有讲解                          ，这里只是提及                 。

同域不同域的问题

A:<iframe id="mainIframe" name="mainIframe" src="/main.html" frameborder="0" scrolling="auto" ></iframe> B:<iframe id="mainIframe" name="mainIframe" src="http://www.baidu.com" frameborder="0" scrolling="auto" ></iframe>

使用A时
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
，因为同域
























，父页面可以对子页面进行改写,反之亦然
  
 
  
 
  
 
  
 
  
 
  
 
  
 
  
 
 。

使用B时                 ，不同域
  
 
  
 
  
 
  
 
  
 
  
 
  
 
  
 
 ，父页面没有权限改动子页面,但可以实现页面的跳转

这里
















，我们先从简单的开始 
  
  
  
  
  
  
  
  ，当主页面和iframe同域时
  
  
  
  
  
  
  
  
 ，我们可以干 些什么
















。

获取iframe里的内容

主要的两个API就是contentWindow,和contentDocument

iframe.contentWindow, 获取iframe的window对象

iframe.contentDocument, 获取iframe的document对象

这两个API只是DOM节点提供的方式(即getELement系列对象)

var iframe = document.getElementById("iframe1"); var iwindow = iframe.contentWindow; var idoc = iwindow.document; console.log("window",iwindow);//获取iframe的window对象 console.log("document",idoc); //获取iframe的document console.log("html",idoc.documentElement);//获取iframe的html console.log("head",idoc.head); //获取head console.log("body",idoc.body); //获取body

另外更简单的方式是
 


 


 


 


 


 


 


 


，结合Name属性 
 
 
 
 
 
 
 
 ，通过window提供的frames获取.

<iframe src ="/index.html" id="ifr1" name="ifr1" scrolling="yes"> <p>Your browser does not support iframes.</p> </iframe> <script type="text/javascript"> console.log(window.frames[ifr1].window); console.dir(document.getElementById("ifr1").contentWindow); </script>

其实window.frames[‘ifr1’]返回的就是window对象
   
   
   
   
   
   
   
   
 ，即：

window.frames[ifr1]===window

这里就看你想用哪一种方式获取window对象
 

 

 

 

 

 

 

 

，两者都行 

 

 

 

 

 

 

 

 ，都可以操控iframe里面的DOM内容 
  
  
  
  
  
  
  
  。

在iframe中获取父级内容

在同域下                 ，父页面可以获取子iframe的内容

 
 

 
 

 
 

 
 

 
 

 
 

 
 

 
 

，那么子iframe同样也能操作父页面内容
  
  
  
  
  
  
  
  
 。在iframe中















，可以通过在window上挂载的几个API进行获取.

window.parent //获取上一级的window对象                          ，如果还是iframe则是该iframe的window对象 window.top //获取最顶级容器的window对象
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
，即
























，就是你打开页面的文档 window.self //返回自身window的引用
 


 


 


 


 


 


 


 


。可以理解 window===window.self(脑残)

自适应iframe之网页广告

网页为了赚钱                 ，引入广告是很正常的事了 
 
 
 
 
 
 
 
 。通常的做法就是使用iframe
  
 
  
 
  
 
  
 
  
 
  
 
  
 
  
 
 ，引入广告地址就可以了
















，然后根据广告内容设置相应的显示框
   
   
   
   
   
   
   
   
 。但是 
  
  
  
  
  
  
  
  ，为什么是使用iframe来进行设置
  
  
  
  
  
  
  
  
 ，而不是在某个div下嵌套就行了呢？

要知道
 


 


 


 


 


 


 


 


，广告是与原文无关的 
 
 
 
 
 
 
 
 ，这样硬编码进去
   
   
   
   
   
   
   
   
 ，会造成网页布局的紊乱,而且,这样势必需要引入额外的css和js文件
 

 

 

 

 

 

 

 

，极大的降低了网页的安全性
 

 

 

 

 

 

 

 

。 这些所有的弊端 

 

 

 

 

 

 

 

 ，都可以使用iframe进行解决 

 

 

 

 

 

 

 

 。

我们通常可以将iframe理解为一个沙盒                 ，里面的内容能够被top window 完全控制

 
 

 
 

 
 

 
 

 
 

 
 

 
 

 
 

，而且















，主页的css样式是不会入侵iframe里面的样式                          ，这些都给iframe的广告命运埋下伏笔                 。可以看一下各大站点是否都在某处放了些广告
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
，以维持生计

比如:W3School

但
























，默认情况下                 ，iframe是不适合做展示信息的
  
 
  
 
  
 
  
 
  
 
  
 
  
 
  
 
 ，所以我们需要对其进行装饰.

自适应iframe

默认情况下
















，iframe会自带滚动条 
  
  
  
  
  
  
  
  ，不会全屏.如果你想自适应iframe的话:

第一步：去掉滚动条 <iframe src="http://www.baidu.com" id="iframe1" scrolling="no"></iframe>

第二步,设置iframe的高为body的高

var iwindow = iframe.contentWindow; var idoc = iwindow.document; iframe.height = idoc.body.offsetHeight;

另外,还可以添加其它的装饰属性:

属性 效果 allowtransparency true or false ----是否允许iframe设置为透明
  
  
  
  
  
  
  
  
 ，默认为false allowfullscreen true or false----是否允许iframe全屏
 


 


 


 


 


 


 


 


，默认为false

看个例子：

<iframe id="google_ads_frame2" name="google_ads_frame2" width="160" height="600" frameborder="0" src="target.html" marginwidth="0" marginheight="0" vspace="0" hspace="0" allowtransparency="true" scrolling="no" allowfullscreen="true"> </iframe>

可以直接写在内联里面 
 
 
 
 
 
 
 
 ，也可以在css里面定义
   
   
   
   
   
   
   
   
 ，不过对于广告iframe来说
 

 

 

 

 

 

 

 

，样式写在属性中 

 

 

 

 

 

 

 

 ，是最好的

 
 

 
 

 
 

 
 

 
 

 
 

 
 

 
 

。

iframe安全性探索–防嵌套网页

iframe出现安全性有两个方面                 ，一个是你的网页被别人iframe,一个是你iframe别人的网页

 
 

 
 

 
 

 
 

 
 

 
 

 
 

 
 

，为了防止页面被一些不法分子利用















，我们需要做好安全性措施















。

最出名的clickhacking就是使用iframe来 拦截click事件                          。因为iframe享有着click的最优先权                          ，当有人在伪造的主页中进行点击的话
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
，如果点在iframe上
























，则会默认是在操作iframe的页面
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
。 所以                 ，钓鱼网站就是使用这个技术
  
 
  
 
  
 
  
 
  
 
  
 
  
 
  
 
 ，通过诱导用户进行点击
















，比如 
  
  
  
  
  
  
  
  ，设计一个"妹妹寂寞了"等之类的网页
  
  
  
  
  
  
  
  
 ，诱导用户点击
 


 


 


 


 


 


 


 


，但实际结果 
 
 
 
 
 
 
 
 ，你看到的不是"妹妹",而是被恶意微博吸粉
























。

所以
   
   
   
   
   
   
   
   
 ，为了防止网站被钓鱼
 

 

 

 

 

 

 

 

，可以使用window.top来防止你的网页被iframe. //iframe2.html if(window != window.top){ window.top.location.href = correctURL; }

这段代码的主要用途是限定你的网页不能嵌套在任意网页内                 。如果你想引用同域的框架的话 

 

 

 

 

 

 

 

 ，可以判断域名
  
 
  
 
  
 
  
 
  
 
  
 
  
 
  
 
 。

if (top.location.host != window.location.host) { 　　top.location.href = window.location.href; }

当然                 ，如果你网页不同域名的话

 
 

 
 

 
 

 
 

 
 

 
 

 
 

 
 

，上述就会报错
















。

所以















，这里可以使用try…catch…进行错误捕获 
  
  
  
  
  
  
  
  。如果发生错误                          ，则说明不同域
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
，表示你的页面被盗用了
  
  
  
  
  
  
  
  
 。可能有些浏览器这样写是不会报错
























，所以需要降级处理
 


 


 


 


 


 


 


 


。

这时候再进行跳转即可 
 
 
 
 
 
 
 
 。 try{ 　　top.location.hostname; //检测是否出错 　　//如果没有出错                 ，则降级处理 　　if (top.location.hostname != window.location.hostname) { 　　　　top.location.href =window.location.href; 　　} } catch(e){ 　　top.location.href = window.location.href; }

这只是浏览器端
  
 
  
 
  
 
  
 
  
 
  
 
  
 
  
 
 ，对iframe页面的权限做出相关的设置
   
   
   
   
   
   
   
   
 。 我们还可以在服务器上
















，对使用iframe的权限进行设置
 

 

 

 

 

 

 

 

。

X-Frame-Options X-Frame-Options是一个相应头 
  
  
  
  
  
  
  
  ，主要是描述服务器的网页资源的iframe权限 

 

 

 

 

 

 

 

 。目前的支持度是IE8+
  
  
  
  
  
  
  
  
 ，有3个选项：

1. X-Frame-Options: DENY

拒绝任何iframe的嵌套请求

2. X-Frame-Options: SAMEORIGIN

只允许同源请求
 


 


 


 


 


 


 


 


，例如网页为 foo.com/123.php 
 
 
 
 
 
 
 
 ，則 foo.com 底下的所有网页可以嵌入此网页
   
   
   
   
   
   
   
   
 ，但是 foo.com 以外的网页不能嵌入

3. X-Frame-Options: ALLOW-FROM http://s3131212.com 只允许指定网页的iframe请求
 

 

 

 

 

 

 

 

，不过兼容性较差Chrome不支持

X-Frame-Options其实就是将前端js对iframe的把控交给服务器来进行处理                 。

//js if(window != window.top){ window.top.location.href = window.location.href; } //等价于 X-Frame-Options: DENY //js if (top.location.hostname != window.location.hostname) { 　　　　top.location.href =window.location.href; } //等价于 X-Frame-Options: SAMEORIGIN

该属性是对页面的iframe进行一个主要限制 

 

 

 

 

 

 

 

 ，不过                 ，涉及iframe的header可不止这一个

 
 

 
 

 
 

 
 

 
 

 
 

 
 

 
 

，另外还有一个Content Security Policy, 他同样也可以对iframe进行限制















，而且                          ，他应该是以后网页安全防护的主流

 
 

 
 

 
 

 
 

 
 

 
 

 
 

 
 

。

resolve iframe跨域

iframe就是一个隔离沙盒
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
，相当于我们在一个页面内可以操控很多个标签页一样















。如果踩坑的童鞋应该知道
























，iframe的解决跨域也是很有套套的                          。

首先我们需要明确什么是跨域
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
。

浏览器判断你跨没跨域                 ，主要根据两个点：一个是你网页的协议(protocol)
  
 
  
 
  
 
  
 
  
 
  
 
  
 
  
 
 ，一个就是你的host是否相同
















，即 
  
  
  
  
  
  
  
  ，就是url的首部: window.location.protocol +window.location.host

需要强调的是
  
  
  
  
  
  
  
  
 ，url首部必须一样
 


 


 


 


 


 


 


 


，比如:二级域名或者IP地址 
 
 
 
 
 
 
 
 ，都算是跨域.

//域名和域名对应ip, 跨域 http://www.a.com/a.js http://70.32.92.74/b.js //统一域名
   
   
   
   
   
   
   
   
 ，不同二级域名
























。 跨域 http://www.a.com/a.js http://a.com/b.js

对于第二种方式的跨域（主域相同而子域不同）,可以使用iframe进行解决                 。

在两个不同子域下(某一方使用iframe嵌套在另一方)
 

 

 

 

 

 

 

 

，

即:

http: //www.foo.com/a.html和http: //script.foo.com/b.html

两个文件中分别加上document.domain = ‘foo.com’,指定相同的主域 

 

 

 

 

 

 

 

 ，然后,两个文档就可以进行交互
  
 
  
 
  
 
  
 
  
 
  
 
  
 
  
 
 。 //b.html是以iframe的形式嵌套在a.html中 //www.foo.com上的a.html document.domain = foo.com; var ifr = document.createElement(iframe); ifr.src = http://script.foo.com/b.html; ifr.style.display = none; document.body.appendChild(ifr); ifr.onload = function(){ var doc = ifr.contentDocument || ifr.contentWindow.document; // 在这里操纵b.html alert(doc.getElementsByTagName("h1")[0].childNodes[0].nodeValue); }; //script.foo.com上的b.html document.domain = foo.com;

默认情况下document.domain 是指window.location.hostname. 你可以手动更改                 ，但是最多只能设置为主域名
















。 通常

 
 

 
 

 
 

 
 

 
 

 
 

 
 

 
 

，主域名就是指不带www的hostname, 比如: foo.com , baidu.com  
  
  
  
  
  
  
  
  。 如果















，带上www或者其他的前缀                          ，就是二级域名或者多级域名
  
  
  
  
  
  
  
  
 。通过上述设置
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
，相同的domain之后
























，就可以进行同域的相关操作
 


 


 


 


 


 


 


 


。另外还可以使用iframe和location.hash                 ，不过由于技术out了
  
 
  
 
  
 
  
 
  
 
  
 
  
 
  
 
 ，这里就不做介绍了 
 
 
 
 
 
 
 
 。

原文链接：https://blog.csdn.net/qq_27009517/article/details/124476405