iframe标签

1、介绍

iframe标签用于定义框架。可以将其他html文档加载在其中，即一个html文档通过iframe标签嵌套一个或多个其他html文档。

2、指定加载

<iframe src=""></iframe>

• 可用是相对路径，也可以是绝对路径
• edge浏览器测试，无论目标域是否跨域，都不携带origin字段。同源时，referer字段为直接的当前url。跨域时，referer字段为协议+主机名+端口

3、javascript伪协议

<iframe src="javascript:alert(/xss/)"></iframe>

• javascript大小写敏感，不能简写，其后可以写入一条或多条js代码，注意分隔
• iframe的js伪协议是加载立即执行

4、width和height

默认的，iframe是一个小型的区域，可见，但是无法满足对视图的需求，需要手动设置width和height。

不足的部分，通过滚动条进行查看。

5、sandbox属性

用于限制iframe加载文档的动作，可选值：

• “”：启用所有限制条件
• allow-same-origin：允许将内容作为普通来源对待。如果未使用该关键字，嵌入的内容将被视为一个独立的源。
• allow-top-navigation：嵌入的页面的上下文可以导航（加载）内容到顶级的浏览上下文环境（browsing context）。如果未使用该关键字，这个操作将不可用。
• allow-forms：允许表单提交。
• allow-scripts：允许脚本执行。