html元素之iframe
介绍
通过iframe元素,可以实现在一个页面中嵌入另一个页面。
使用
1、基础
<iframe loading="lazy" src="demo_iframe.htm" width="200" height="200" frameborder="0" name=""></iframe>
- 可以在同一个浏览器窗口中显示不止一个页面。
- frameborder为0表示移除边框
- name属性,可以为a标签的target属性值,表示点击a标签时,在iframe中显示链接的地址
2、X-Frame-Options
出于有些网页不希望被嵌套, 响应头中有一选项
X-Frame-Options
他有三个可配置值
DENY:表示该网站页面不允许被嵌套,即便是在自己的域名的页面中也不能进行嵌套。
SAMEORIGIN:表示该页面可以在相同域名页面中被嵌套展示。
ALLOW-FROM uri:表示该页面可以在指定来源页面中进行嵌套展示。
3、伪协议
<iframe src=javascript:alert(123)></iframe>
- 在加载时直接触发javascript伪协议
4、请求
(1)Accept
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
- iframe可以请求任意的格式
(2)Cookie
iframe请求时,虽然跨域,仍然携带目标域的cookie
(3)Referer
iframe请求时,虽然跨域,但是只携带referer字段而无origin字段
(4)content-type
与直接地址栏请求时一样,不携带content-type字段
5、父子交互