iframe标签有什么用？内嵌网页如何实现？-html教程-PHP中文网

iframe在现代网页设计中仍有重要用途，其核心价值在于隔离性，1. 可用于嵌入第三方服务（如youtube、google地图），避免样式和脚本污染；2. 通过sandbox属性沙盒化不可信内容，提升安全性；3. 集成遗留系统或独立应用，实现平滑过渡；4. 结合loading="lazy"优化性能，延迟加载非关键内容。但需权衡安全与性能风险，1. 安全方面应优先使用sandbox属性限制权限，配合x-frame-options和content-security-policy响应头防止恶意嵌入，并通过window.postmessage()实现安全的跨域通信；2. 性能方面推荐延迟加载、控制内容体积、避免滥用iframe；3. 受同源策略限制，跨域iframe无法直接访问dom，必须通过postmessage通信。因此，iframe仍适用于需要隔离的场景，但在使用前应评估是否有更优的替代方案。

iframe标签有什么用？内嵌网页如何实现？

iframe

登录后复制

标签，简单来说，就是你在当前网页里开了一扇窗，这扇窗里展示的是另一个完整的网页内容。它允许你把外部的HTML文档嵌入到你自己的页面中，就像画中画一样，而这个“画中画”可以是来自任何地方的网页，只要对方允许。

解决方案

要实现内嵌网页，核心就是使用HTML的

<iframe>

登录后复制

标签。它的基本结构并不复杂，但背后的考量却不少。

最基础的用法是这样：

<iframe src="https://www.example.com/another-page.html" width="800"    style="max-width:90%" title="这是一个嵌入的示例页面">
  您的浏览器不支持内联框架。
</iframe>

登录后复制

这里，

src

登录后复制

属性是关键，它指定了要嵌入的网页的URL。

width

登录后复制

和

height

登录后复制

定义了内联框架的尺寸。而

title

登录后复制

属性则非常重要，它为屏幕阅读器提供了关于这个框架内容的描述，提升了可访问性。

除了这些，还有一些常用的属性可以帮助你更好地控制内嵌内容：

```
allowfullscreen
```
登录后复制
: 允许嵌入的内容进入全屏模式，这对于嵌入视频播放器尤其有用。
```
loading="lazy"
```
登录后复制
: 这是一个现代浏览器支持的属性，可以实现延迟加载，只有当
```
iframe
```
登录后复制
进入视口时才开始加载内容，这能显著提升页面初始加载性能。
```
sandbox
```
登录后复制
: 这个属性是
```
iframe
```
登录后复制
安全性的核心。它能够限制嵌入内容的行为，比如禁止脚本执行、禁止表单提交、禁止弹出窗口等等。当你嵌入的内容来源不可信时，
```
sandbox
```
登录后复制
几乎是必选项，它能极大程度地降低安全风险。

在实际操作中，你会发现，虽然

iframe

登录后复制

看似简单，但它所带来的安全、性能和用户体验问题，往往需要更深层次的思考和精细的配置。

iframe

登录后复制

在现代网页设计中还有用武之地吗？

这个问题我被问过很多次，尤其是在前端框架和组件化大行其道的今天。我的看法是：当然有，但它的角色和使用场景已经变得更加聚焦和明确了。过去，我们可能为了布局、为了某个模块的独立性而滥用

iframe

登录后复制

，但现在，这种做法已经过时了。

iframe

登录后复制

的独特价值在于它的“隔离性”。它创建了一个独立的浏览上下文，这意味着嵌入的内容与父页面在很大程度上是相互独立的。这种隔离性在以下场景中显得尤为重要：

嵌入第三方服务：最常见的例子就是嵌入YouTube视频、Google地图、在线支付页面、客服聊天窗口或广告。这些内容通常不是我们自己控制的，通过
```
iframe
```
登录后复制
可以将其安全、便捷地集成到我们的页面中，同时避免其样式或脚本污染到我们的主页面环境。
沙盒化不可信内容：如果你需要展示用户生成的内容，或者来自不完全信任源的代码片段，
```
sandbox
```
登录后复制
属性的
```
iframe
```
登录后复制
提供了一个强大的安全屏障。它能限制嵌入内容的权限，防止恶意脚本对你的网站或用户造成损害。
加载遗留系统或独立应用：在大型企业应用中，你可能会遇到一些老旧的系统或独立的Web应用，它们可能难以直接集成到新的前端架构中。此时，
```
iframe
```
登录后复制
提供了一个相对平滑的过渡方案，可以将它们作为独立模块嵌入到新平台中。
性能优化（特定场景）：结合
```
loading="lazy"
```
登录后复制
，对于那些位于页面底部、用户不一定会立即看到的内容，
```
iframe
```
登录后复制
的延迟加载特性可以避免它们阻塞主页面的渲染，从而提升用户感知到的加载速度。

然而，

iframe

登录后复制

也并非没有缺点。它可能会带来额外的HTTP请求、DOM开销，以及跨域通信的复杂性。此外，对于搜索引擎优化（SEO），

iframe

登录后复制

内部的内容通常不会被直接视为父页面的一部分，这可能会影响内容的索引。所以，在使用它之前，真的要权衡利弊，看看有没有更适合的替代方案，比如API调用、组件库或微前端架构。但对于那些真正需要隔离的场景，

iframe

登录后复制

依然是不可替代的。

如何应对

iframe

登录后复制

带来的安全和性能挑战？

iframe

登录后复制

的“隔离性”是把双刃剑。它提供了便利，但也引入了安全和性能上的考量。作为开发者，我们必须主动去管理这些风险。

小羊标书

一键生成百页标书，让投标更简单高效

查看详情

安全性方面，我的经验是：

充分利用
sandbox
登录后复制
属性：这是你的第一道防线。
```
sandbox
```
登录后复制
属性可以设置为一个空字符串（完全禁用所有功能），或者包含特定值的列表来允许部分功能（例如
```
allow-scripts
```
登录后复制
允许脚本，
```
allow-same-origin
```
登录后复制
允许同源内容）。如果你不确定，最好从最严格的沙盒开始，然后根据需要逐步放开权限。比如，如果你只是想展示一个静态页面，
```
sandbox=""
```
登录后复制
就足够了。如果需要播放视频，可能需要
```
sandbox="allow-scripts allow-popups allow-presentation"
```
登录后复制
。
关注HTTP响应头：服务器端发送的
```
X-Frame-Options
```
登录后复制
和
```
Content-Security-Policy
```
登录后复制
（CSP）HTTP头对于控制
```
iframe
```
登录后复制
行为至关重要。
- ```
X-Frame-Options: DENY
```
  登录后复制
  ：完全禁止任何网站将你的页面嵌入到
```
iframe
```
  登录后复制
  中。
- ```
X-Frame-Options: SAMEORIGIN
```
  登录后复制
  ：只允许同源的网站嵌入。
- ```
Content-Security-Policy: frame-ancestors 'self'
```
  登录后复制
  ：这是CSP中更灵活和强大的替代方案，可以更细粒度地控制哪些源可以嵌入你的页面。
- 作为嵌入者，你需要确保你嵌入的第三方服务也采取了适当的安全措施，并且你对它们的安全性有一定信任。
跨域通信使用
postMessage()
登录后复制
：如果父页面和
```
iframe
```
登录后复制
内的页面需要互相通信，绝对不要尝试直接访问对方的DOM。这不仅违反了同源策略，也是安全隐患。
```
window.postMessage()
```
登录后复制
是专门为此设计的安全API，它允许不同源的窗口之间安全地传递消息。始终验证接收到的消息的
```
origin
```
登录后复制
，以防止恶意消息。

性能方面，可以考虑这些策略：

延迟加载（Lazy Loading）：前面提到的
```
loading="lazy"
```
登录后复制
属性是首选。对于不支持的浏览器，你可以手动实现延迟加载逻辑，例如在
```
iframe
```
登录后复制
进入视口时才设置其
```
src
```
登录后复制
属性。
控制尺寸和内容：
```
iframe
```
登录后复制
加载的是一个完整的HTML文档，这可能意味着额外的CSS、JavaScript和图片。尽量让
```
iframe
```
登录后复制
内的内容保持轻量级，并且只在必要时才使用它。
避免不必要的
iframe
登录后复制
：如果一个功能可以通过API调用或直接的组件集成来实现，那么通常它会比
```
iframe
```
登录后复制
更高效。不要为了方便而牺牲性能。
CSS优化：确保
```
iframe
```
登录后复制
的尺寸是响应式的，可以使用CSS的
```
aspect-ratio
```
登录后复制
属性来保持视频等内容的宽高比，避免布局抖动。

处理

iframe

登录后复制

就像是在你的房子里安装了一个玻璃幕墙，它带来了风景，但也需要你考虑隐私和结构安全。

iframe

登录后复制

与同源策略（Same-Origin Policy）有什么关系？

iframe

登录后复制

和同源策略（Same-Origin Policy, SOP）是Web安全领域一对非常重要的概念，它们之间有着千丝万缕的联系。简单来说，同源策略是浏览器的一项核心安全机制，它限制了来自不同“源”的文档或脚本如何相互作用。而

iframe

登录后复制

，作为一种嵌入外部内容的机制，自然会受到同源策略的严格约束。

什么是“源”？ 一个“源”由协议（protocol）、主机名（host）和端口号（port）三部分组成。只有当这三者都完全相同时，两个页面才被认为是“同源”的。例如：

```
http://www.example.com/page1.html
```
登录后复制
```
http://www.example.com/page2.html
```
登录后复制
这两个页面是同源的。但以下情况则不是：
```
https://www.example.com/page.html
```
登录后复制
(协议不同)
```
http://blog.example.com/page.html
```
登录后复制
(主机名不同)
```
http://www.example.com:8080/page.html
```
登录后复制
(端口不同)

iframe

登录后复制

如何受到同源策略的影响？

当你在页面中嵌入一个

iframe

登录后复制

时：

同源
iframe
登录后复制
：如果
```
iframe
```
登录后复制
中加载的内容与父页面是同源的，那么父页面中的JavaScript脚本可以自由地访问和操作
```
iframe
```
登录后复制
内部的DOM，反之亦然。这在构建一些复杂的单页应用或内部管理界面时会用到，比如一个主框架页面嵌入了多个同源的子页面。
跨域
iframe
登录后复制
：这是更常见的情况，比如你嵌入YouTube视频或Google地图。如果
```
iframe
```
登录后复制
中加载的内容与父页面是不同源的，同源策略就会发挥作用，严格限制父页面脚本对
```
iframe
```
登录后复制
内容的访问。这意味着：
- 父页面无法直接访问
```
iframe
```
  登录后复制
  的DOM结构，也无法读取其内容。
- ```
iframe
```
  登录后复制
  内部的脚本也无法直接访问父页面的DOM或JavaScript变量。
- 这种限制是为了防止恶意网站通过
```
iframe
```
  登录后复制
  嵌入银行页面或社交媒体，然后窃取用户敏感信息或执行恶意操作（如点击劫持）。

打破同源限制的“合法”方式：

虽然同源策略限制了直接的DOM操作，但它并没有完全阻止跨域通信。为了在受控和安全的前提下进行跨域通信，Web标准提供了几种机制：

window.postMessage()
登录后复制
：这是最常用、最安全的跨域通信方式。它允许不同源的窗口（包括
```
iframe
```
登录后复制
与父页面之间）安全地发送和接收字符串消息。发送方需要指定消息的目标源，接收方则需要验证消息的来源，以确保安全。
document.domain
登录后复制
：在某些特定情况下，如果两个子域（如
```
a.example.com
```
登录后复制
和
```
b.example.com
```
登录后复制
）想要互相通信，它们可以将其
```
document.domain
```
登录后复制
属性设置为它们的共同主域（
```
example.com
```
登录后复制
），这样它们就会被浏览器视为同源，从而允许相互访问。但这种方式有其局限性，并且在现代Web开发中不常用。
CORS (Cross-Origin Resource Sharing)： CORS主要用于服务器端允许跨域请求资源，而不是直接用于
```
iframe
```
登录后复制
之间的JavaScript通信，但它在整个跨域生态系统中扮演着重要角色。