学习知识要善于思考，思考，再思考！今天golang学习网小编就给大家带来《iframe标签的作用是嵌入外部网页或文档到当前页面中，实现内嵌网页的方式是在HTML中使用``标签，并通过`src`属性指定要加载的网页地址。》，以下内容主要包含等知识点，如果你正在学习或准备学习文章，就都不要错过本文啦~让我们一起来看看吧，能帮助到你就更好了！

iframe的常见安全隐患包括点击劫持、跨域内容劫持和恶意脚本执行，主要通过sandbox属性、X-Frame-Options响应头、Content-Security-Policy和Permissions-Policy进行防护；实现响应式需采用CSS的padding-bottom百分比技巧，1. 创建相对定位的容器；2. 设置容器padding-bottom为所需长宽比对应的百分比（如16:9为56.25%）；3. iframe设置绝对定位并填充容器；4. 容器高度设为0，通过padding撑开；5. 添加overflow:hidden防止溢出；该方法可确保iframe在不同设备上保持比例自适应；iframe对SEO的影响主要体现在内容归属不明确、加载性能下降、移动端体验差和可访问性挑战，搜索引擎虽能抓取其中内容，但通常归于源站，不利于当前页权重提升，因此建议仅用于非核心内容，避免承载关键信息，并采用懒加载和备用链接优化体验与索引。

iframe标签，简单来说，就是网页里的一个“窗口”，它允许你在当前HTML文档中嵌入另一个独立的HTML文档。你可以把它想象成在你的网页上挖了一个洞，然后把别人的网页或者你自己网站的某个部分直接塞了进去，让它们在同一个页面里同时显示。这种内嵌方式，让内容的聚合和复用变得非常直接。

解决方案

要实现内嵌网页，核心就是使用这个结构。

举个例子，如果你想在你的博客文章里展示一个B站的视频，或者嵌入一个外部的在线文档，iframe就是那个直截了当的工具。

    
    
    
    


    

        
关于`iframe`的妙用与挑战
        
我们常常需要在自己的网页中展示来自其他源的内容，比如一个在线地图、一个视频播放器，或者一个外部的表单。这时候，`iframe`就派上用场了。

        
嵌入一个示例页面
        
这是一个简单的`iframe`示例，它加载了一个外部的网页。注意，出于安全考虑，很多网站会阻止自己的内容被`iframe`嵌入，所以这里我用了一个公共的测试页面。
        

        
`iframe`的常见属性
        

            
`src`: 必填，指定要嵌入的文档的URL。
            
`width`和`height`: 指定`iframe`的尺寸。可以是像素值或百分比。
            
`frameborder`: 控制边框（HTML5中已废弃，应使用CSS `border`属性）。
            
`allow`: 强大的安全属性，用于指定`iframe`可以访问哪些功能（如`fullscreen`、`camera`、`microphone`等）。
            
`sandbox`: 另一个非常重要的安全属性，用于限制`iframe`内内容的权限，防止恶意代码执行。
            
`title`: 强烈建议添加，为`iframe`提供可访问性描述。
        

        
使用`sandbox`属性增强安全性
        
如果你嵌入的内容来源不可信，或者你希望严格限制其行为，`sandbox`属性是你的救星。它可以禁用脚本、表单提交、弹出窗口等功能。不带任何值的`sandbox`属性会施加最严格的限制。
        
        
你可以给`sandbox`添加特定的值来放宽某些限制，例如 `sandbox="allow-scripts allow-same-origin"`。
    

在我看来，iframe就像一把双刃剑。它提供了巨大的便利，让内容集成变得轻而易举，但同时也引入了一系列需要深思熟虑的问题，尤其是安全和用户体验方面。

iframe在实际应用中常见的安全隐患有哪些？

说到iframe，安全问题是绕不开的。我个人觉得，这就像是你在自己家里开了一扇窗，这扇窗能看到外面，外面也能通过这扇窗影响到你。最核心的风险在于“跨域”操作和“内容劫持”。

首先是同源策略（Same-Origin Policy）。浏览器为了安全，会严格限制一个源（协议、域名、端口都相同）的文档与另一个源的文档之间的交互。iframe里的内容，如果和父页面不是同源的，它们之间就不能随意访问对方的DOM或JavaScript对象。这是个好东西，但攻击者总能找到绕过或利用它的方法。

举个例子，如果你的页面嵌入了一个恶意的iframe，它可能会尝试钓鱼（比如伪造登录页面），或者通过点击劫持（Clickjacking）诱导用户点击你页面上看不见的元素。想象一下，一个透明的恶意iframe覆盖在你的“确认支付”按钮上，用户本意是点击你的按钮，结果却点到了iframe里的恶意链接。这想想就让人头皮发麻。

为了应对这些，我们有几个重要的防线：

• sandbox属性：这是我最推崇的防护措施。它能让你对iframe里的内容进行“沙盒化”处理，限制其各种权限。比如，如果你只写sandbox，那么iframe里的脚本就无法执行，表单无法提交，甚至无法弹出窗口。你可以根据需要，通过添加特定的关键字（如allow-scripts、allow-same-origin等）来放宽部分限制。我的经验是，对于不可信的第三方内容，尽可能地收紧sandbox权限。

• X-Frame-Options HTTP响应头：这个头部由服务器发送，告诉浏览器是否允许页面被iframe嵌入。DENY表示完全不允许，SAMEORIGIN表示只允许同源页面嵌入，ALLOW-FROM uri则允许指定URI嵌入。如果你不希望自己的网站被别人随意iframe，这个头部非常关键。作为开发者，我们也要检查我们嵌入的第三方服务是否设置了合理的X-Frame-Options。

• Content-Security-Policy (CSP)：虽然主要是针对XSS攻击，但CSP也能通过frame-src指令限制页面可以加载哪些iframe源，进一步增强安全性。

• Permissions-Policy (以前叫Feature-Policy)：这个更现代的HTTP头部或iframe属性，可以更细粒度地控制iframe能够访问的浏览器功能，比如摄像头、麦克风、地理位置等。

总的来说，当你在考虑使用iframe时，一定要问自己：我嵌入的内容是可信的吗？我是否需要限制它的权限？这些思考会直接影响你如何配置iframe的属性和服务器的响应头。

如何让iframe内容在不同设备上保持良好的响应式表现？

iframe的响应式问题，简直是前端开发者的一个痛点。它默认的width和height属性，往往是固定像素值，这在多变的屏幕尺寸下显得格格不入。你不能指望一个固定400px高的iframe在手机上还显示得很好看。

我通常会遇到这样的情况：一个YouTube视频在PC上看起来很完美，但在手机上要么被截断，要么出现丑陋的滚动条。解决这个问题，需要一些CSS的巧妙运用。

最常见且我个人觉得最优雅的解决方案是利用CSS的padding-bottom百分比技巧来保持长宽比。这个方法基于一个事实：CSS中padding的百分比值是相对于父元素的宽度计算的。

思路是这样的：

1. 创建一个父容器，设置position: relative;。
2. iframe本身设置position: absolute; top: 0; left: 0; width: 100%; height: 100%;，让它完全填充父容器。
3. 父容器的高度不设置，而是通过padding-bottom来“撑”开。例如，对于16:9的视频，padding-bottom就是(9/16)*100% = 56.25%。

看个例子：

这个方法的好处是，无论父容器宽度如何变化，iframe都会保持固定的长宽比，从而在各种设备上都能有良好的显示效果，避免了内容被裁剪或出现不必要的滚动条。

当然，也有其他方法，比如通过JavaScript动态计算iframe的高度。但这会增加JS的开销，而且如果iframe内容是跨域的，你可能无法直接获取其内部文档的高度，这就又回到了跨域安全问题上了。所以，我更倾向于纯CSS的解决方案，它更稳定，性能也更好。

iframe标签对网站的搜索引擎优化（SEO）有什么影响？

谈到iframe和SEO，我的感受是，这就像是给搜索引擎出了一道选择题：它是否应该把iframe里的内容算作你页面的内容？答案往往是：看情况，但通常不那么理想。

从我的经验来看，搜索引擎，尤其是Google，现在已经比以前聪明很多，它们有能力抓取并索引iframe中的内容。但是，这并不意味着iframe是传递SEO权重的最佳方式。

几个关键点：

1. 内容归属问题：即使搜索引擎能抓取iframe里的内容，这些内容通常会被归属到iframe的源页面，而不是你当前嵌入它的页面。这意味着，如果你通过iframe嵌入了大量核心内容，这些内容可能无法有效地提升你当前页面的关键词排名或权威性。你的页面可能会被视为“内容贫乏”或“缺乏原创内容”。

2. 加载性能：iframe会引入额外的HTTP请求和渲染负担。一个页面加载多个iframe可能会显著减慢页面加载速度。而页面加载速度是搜索引擎非常看重的排名因素之一，尤其是在移动设备上。用户体验差，搜索引擎自然也不会喜欢。

3. 移动端体验：正如上面响应式问题所讨论的，如果iframe没有做好响应式处理，它在手机上的显示效果会很糟糕，导致用户体验下降，这也会影响SEO。

4. 可访问性：对于屏幕阅读器等辅助技术来说，iframe可能会带来一些挑战。虽然title属性可以提供一些上下文，但如果iframe内容本身结构复杂或不规范，可能会影响可访问性，间接影响SEO。

所以，我的建议是：

• 慎用iframe承载核心内容：如果你的页面内容是围绕iframe中的内容展开的，并且这部分内容对SEO至关重要，那么最好考虑其他方式，比如直接将内容整合到你的页面中，或者使用服务器端包含（SSI）、AJAX加载并确保内容能被搜索引擎抓取。

• 用于非核心、辅助性内容：iframe更适合嵌入一些辅助性的、非核心的内容，比如第三方广告、地图、社交媒体插件、评论系统（如果它们本身就是独立加载的）。这些内容通常不需要直接为你的页面贡献SEO权重。

• 优化加载性能：如果必须使用iframe，考虑对其进行延迟加载（Lazy Load），即当用户滚动到iframe可见区域时才加载它，这可以显著提升初始加载速度。

• 提供替代内容：对于一些老旧的搜索引擎或特殊情况，你可以在iframe标签内部提供一些替代文本或链接，以防iframe内容无法被抓取。例如：

总的来说，iframe是一个功能强大的工具，但在SEO的语境下，它更像是一个“不得已而为之”的选择。在决定使用它之前，我总是会权衡其带来的便利性和潜在的SEO风险。

到这里，我们也就讲完了《iframe标签的作用及使用方法》的内容了。个人认为，基础知识的学习和巩固，是为了更好的将其运用到项目中，欢迎关注golang学习网公众号，带你了解更多关于SEO,响应式,iframe标签,内嵌网页,sandbox属性的知识点！