WEB安全第六课 HTML语言 之六 框架

        框架（frame)能使HTML文档被内嵌和显示在另一个页面中的一块长方形区域里。现在我们用的浏览器都支持好几种框架标签，但要达到这个效果，最常见的方式就是使用以下这个省事又灵活的嵌人式框架：
        
[mw_shl_code=html,true]<iframe src="http://www.example.com/"></iframe>[/mw_shl_code]
        
        在传统的HTML文档里，这个标签会使解析器进人一个特殊的解析模式，对支持框架的浏览器来说，位于这个标签开始和结束之间所有的文本内容都会被忽略掉，就直接显示框架里的内容。对不支持<iframe>签的老式浏览器来说，会直接显示出在框架标签开始和结束之间的文字内容。这样我们就能用这种方式来提供一个低成本的条件呈现指令。

👨‍🎨‍🥼🧻😷✊

        这种在不同运行环境里，标签的表现也不同的做法，使得在不支持框架的环境里，能显示一些建议性文字，如“本页面必须在支持框架的浏览器里访问”，为用户提供较为友好的提示信息。
        
        框架就是一个独立的文档视图，从很多方面来说就和一个新的浏览器窗口差不多（框架甚至享用自己独立的JavaScript执行环境）。和浏览器窗口一样，框架也可以设定自己的name参数，然后在<a>和<form>标签里可以通过target值就能跳转到该name对应的框架里。

🖕🗼🥄®🦟‍        
        对要嵌进框架里的src值也即URL地址的限定，实际上和普通链接里的规则相差无几。比如，框架里的设置也可以指向javascript:或由外部程序处理的协议，这种情况下框架的页面内容显示会为空，并根据该协议对应的程序启动新的进程。
        
        框架与Web安全特别相关，因为通过框架，几乎可以不受限制地把内容完全无关的网站都整合在同一个页面里。我们会在后面的帖子里认真审视这种行为带来的问题。
👨‍🚒‍👠🛏😷👂