iframe

why

реклама
аналитика
видео с ютуба
игры

iframe basic usage

Пример ниже открывает в iframe страницу приложения и ждет вызова postMessage с нее

<script>
  window.addEventListener('message', function(e) {
    fetch("/" + encodeURIComponent(e.data.data))
  }, false)
</script>
<iframe src="https://example.com"></iframe>

Общение происходит по

Родитель отправляет: $(iframe).postMessage

Дочерний iframe отправляет: window.parent.postMessage

iframe security

Атрибуты у iframe связанные с ИБ

allow — какие API (например, Payments API) доступны сайту, подгруженному в iframe
referrerpolicy — включать ли заголовок Referrer, и что туда включать
sandbox — что может делать отрисованная форма (например, может ли js исполнять)

Еще пару слов про безопасность. Стоит упомянуть HTTP заголовок X-Frame-Options, в котором можно перечислить адреса сайтов, которые могут загружать вашу страницу в iframe:

X-Frame-Options: deny, sameorigin, allow-from %URI%.

Либо его аналог в политике CSP:

Content-Security-Policy: frame-ancestors source;
Content-Security-Policy: frame-ancestors source source;

PreviousПримеры NextСтраница со ссылкой

Last updated 2 years ago