摘要：通常我們可以在后配置各種指定資源路徑，有如果你未指定的話，則是使用規(guī)定的加載策略默認(rèn)配置就是同域這里和有一點(diǎn)瓜葛的就是和就是用來指定的有效加載路徑。

某大咖說: "iframe是能耗最高的一個(gè)元素，請(qǐng)盡量減少使用"
某大牛說: "iframe安全性太差，請(qǐng)盡量減少使用"
...
wtf, 你們知不知道你們這樣澆滅了多少孩紙學(xué)習(xí)iframe的熱情和決心。 雖然，你們這樣說的我竟無法反駁，但是iframe強(qiáng)大功能是不容忽視的。 可以看看各大郵箱網(wǎng)站是否還在使用iframe，查查知乎iframe. iframe不死，我心不滅?，F(xiàn)在給大家安利一下iframe.

通常我們使用iframe直接直接在頁(yè)面嵌套iframe標(biāo)簽指定src就可以了。

但是，有追求的我們，并不是想要這么low的iframe. 我們來看看在iframe中還可以設(shè)置些什么屬性

iframe常用屬性:
1.frameborder:是否顯示邊框，1(yes),0(no)

2.height:框架作為一個(gè)普通元素的高度，建議在使用css設(shè)置。

3.width:框架作為一個(gè)普通元素的寬度，建議使用css設(shè)置。

4.name:框架的名稱，window.frames[name]時(shí)專用的屬性。

5.scrolling:框架的是否滾動(dòng)。yes,no,auto。

6.src：內(nèi)框架的地址，可以使頁(yè)面地址，也可以是圖片的地址。
7.srcdoc , 用來替代原來HTML body里面的內(nèi)容。但是IE不支持, 不過也沒什么卵用
8.sandbox: 對(duì)iframe進(jìn)行一些列限制，IE10+支持

上面一些tag，會(huì)在下文進(jìn)行穿插說明，單個(gè)不好說。
我們通常使用iframe最基本的特性，就是能自由操作iframe和父框架的內(nèi)容(DOM). 但前提條件是同域. 如果跨域頂多只能實(shí)現(xiàn)頁(yè)面跳轉(zhuǎn)window.location.href.
那什么是同域/ 什么是跨域呢?
就是判斷你的url首部是否一樣，下面會(huì)有講解，這里只是提及。
同域不同域的問題:

A:

B:

使用A時(shí)，因?yàn)橥?，父?yè)面可以對(duì)子頁(yè)面進(jìn)行改寫,反之亦然。
使用B時(shí)，不同域，父頁(yè)面沒有權(quán)限改動(dòng)子頁(yè)面,但可以實(shí)現(xiàn)頁(yè)面的跳轉(zhuǎn)
這里，我們先從簡(jiǎn)單的開始，當(dāng)主頁(yè)面和iframe同域時(shí)，我們可以干 些什么。

主要的兩個(gè)API就是contentWindow,和contentDocument
iframe.contentWindow, 獲取iframe的window對(duì)象
iframe.contentDocument, 獲取iframe的document對(duì)象
這兩個(gè)API只是DOM節(jié)點(diǎn)提供的方式(即getELement系列對(duì)象)

 var iframe = document.getElementById("iframe1");
 var iwindow = iframe.contentWindow;
 var idoc = iwindow.document;
        console.log("window",iwindow);//獲取iframe的window對(duì)象
        console.log("document",idoc);  //獲取iframe的document
        console.log("html",idoc.documentElement);//獲取iframe的html
        console.log("head",idoc.head);  //獲取head
        console.log("body",idoc.body);  //獲取body

實(shí)際情況如:

另外更簡(jiǎn)單的方式是，結(jié)合Name屬性，通過window提供的frames獲取.

其實(shí)window.frames["ifr1"]返回的就是window對(duì)象，即

window.frames["ifr1"]===window

這里就看你想用哪一種方式獲取window對(duì)象，兩者都行，不過本人更傾向于第二種使用frames[xxx].因?yàn)椋帜干侔∥箏 然后，你就可以操控iframe里面的DOM內(nèi)容。

同理，在同域下，父頁(yè)面可以獲取子iframe的內(nèi)容，那么子iframe同樣也能操作父頁(yè)面內(nèi)容。在iframe中，可以通過在window上掛載的幾個(gè)API進(jìn)行獲取.

window.parent 獲取上一級(jí)的window對(duì)象，如果還是iframe則是該iframe的window對(duì)象
window.top 獲取最頂級(jí)容器的window對(duì)象，即，就是你打開頁(yè)面的文檔
window.self 返回自身window的引用?？梢岳斫?window===window.self(腦殘)

如圖: 來個(gè)栗子~

ok, 獲取了之后，我們就可以進(jìn)行相關(guān)操作了。 在同域的iframe中，我們可以巧妙的使用iframe的黑科技來實(shí)現(xiàn)一些trick.

話說在很久很久以前，我們實(shí)現(xiàn)異步發(fā)送請(qǐng)求是使用iframe實(shí)現(xiàn)的~!
怎么可能!!!
真的史料為證(自行g(shù)oogle), 那時(shí)候?yàn)榱瞬惶D(zhuǎn)頁(yè)面，提交表單時(shí)是使用iframe提交的?，F(xiàn)在，前端發(fā)展尼瑪真快，websocket,SSE,ajax等，逆天skill的出現(xiàn)，顛覆了iframe, 現(xiàn)在基本上只能活在IE8,9的瀏覽器內(nèi)了。 但是，寶寶以為這樣就可以不用了解iframe了,而現(xiàn)實(shí)就是這么殘酷，我們目前還需要兼容IE8+。所以，iframe 實(shí)現(xiàn)長(zhǎng)輪詢和長(zhǎng)連接的trick 我們還是需要涉獵滴。

如果寫過ajax的童鞋，應(yīng)該知道，長(zhǎng)輪詢就是在ajax的readyState = 4的時(shí)，再次執(zhí)行原函數(shù)即可。 這里使用iframe也是一樣，異步創(chuàng)建iframe，然后reload, 和后臺(tái)協(xié)商好, 看后臺(tái)哥哥們將返回的信息放在,然后獲取里面信息即可. 這里是直接放在body里.

var iframeCon = docuemnt.querySelector("#container"),
        text; //傳遞的信息
    var iframe = document.createElement("iframe"),
        iframe.id = "frame",
        iframe.style = "display:none;",
        iframe.name="polling",
        iframe.src="target.html";
    iframeCon.appendChild(iframe);
    iframe.onload= function(){
        var iloc = iframe.contentWindow.location,
            idoc  = iframe.contentDocument;
        setTimeout(function(){
            text = idoc.getElementsByTagName("body")[0].textContent;
            console.log(text);
            iloc.reload(); //刷新頁(yè)面,再次獲取信息，并且會(huì)觸發(fā)onload函數(shù)
        },2000);
    }

這樣就可以實(shí)現(xiàn)ajax的長(zhǎng)輪詢的效果。 當(dāng)然，這里只是使用reload進(jìn)行獲取，你也可以添加iframe和刪除iframe的方式，進(jìn)行發(fā)送信息，這些都是根據(jù)具體場(chǎng)景應(yīng)用的。另外在iframe中還可以實(shí)現(xiàn)異步加載js文件，不過，iframe和主頁(yè)是共享連接池的，所以還是很蛋疼的，現(xiàn)在基本上都被XHR和hard calllback取締了，這里也不過多介紹了。

網(wǎng)頁(yè)為了賺錢，引入廣告是很正常的事了。通常的做法就是使用iframe，引入廣告地址就可以了，然后根據(jù)廣告內(nèi)容設(shè)置相應(yīng)的顯示框。但是，為什么是使用iframe來進(jìn)行設(shè)置，而不是在某個(gè)div下嵌套就行了呢？
要知道，廣告是與原文無關(guān)的，這樣硬編碼進(jìn)去，會(huì)造成網(wǎng)頁(yè)布局的紊亂,而且,這樣勢(shì)必需要引入額外的css和js文件，極大的降低了網(wǎng)頁(yè)的安全性。 這些所有的弊端，都可以使用iframe進(jìn)行解決。
我們通?？梢詫frame理解為一個(gè)沙盒，里面的內(nèi)容能夠被top window 完全控制，而且，主頁(yè)的css樣式是不會(huì)入侵iframe里面的樣式，這些都給iframe的廣告命運(yùn)埋下伏筆。可以看一下各大站點(diǎn)是否都在某處放了些廣告，以維持生計(jì)比如:W3School
但，默認(rèn)情況下，iframe是不適合做展示信息的，所以我們需要對(duì)其進(jìn)行decorate.

默認(rèn)情況下，iframe會(huì)自帶滾動(dòng)條，不會(huì)全屏.如果你想自適應(yīng)iframe的話:
第一步：去掉滾動(dòng)條

第二步,設(shè)置iframe的高為body的高

var iwindow = iframe.contentWindow;
var idoc = iwindow.document;
iframe.height = idoc.body.offsetHeight;

另外,還可以添加其它的裝飾屬性:

看個(gè)例子:

你可以直接寫在內(nèi)聯(lián)里面，也可以在css里面定義，不過對(duì)于廣告iframe來說，樣式寫在屬性中，是best pratice.

iframe出現(xiàn)安全性有兩個(gè)方面，一個(gè)是你的網(wǎng)頁(yè)被別人iframe,一個(gè)是你iframe別人的網(wǎng)頁(yè)。 當(dāng)你的網(wǎng)頁(yè)被別人iframe時(shí)，比較蛋疼的是被釣魚網(wǎng)站利用，然后victim+s留言逼逼你。真.簡(jiǎn)直了。 所以為了防止頁(yè)面被一些不法分子利用，我們需要做好安全性措施。

比如，最出名的clickhacking就是使用iframe來 攔截click事件。因?yàn)閕frame享有著click的最優(yōu)先權(quán)，當(dāng)有人在偽造的主頁(yè)中進(jìn)行點(diǎn)擊的話，如果點(diǎn)在iframe上，則會(huì)默認(rèn)是在操作iframe的頁(yè)面。 所以，釣魚網(wǎng)站就是使用這個(gè)技術(shù)，通過誘導(dǎo)用戶進(jìn)行點(diǎn)擊，比如，設(shè)計(jì)一個(gè)"妹妹寂寞了"等之類的網(wǎng)頁(yè)，誘導(dǎo)用戶點(diǎn)擊，但實(shí)際結(jié)果，你看到的不是"妹妹",而是被惡意微博吸粉。
所以，為了防止網(wǎng)站被釣魚，可以使用window.top來防止你的網(wǎng)頁(yè)被iframe.

//iframe2.html
if(window != window.top){
    window.top.location.href = correctURL;
}

這段代碼的主要用途是限定你的網(wǎng)頁(yè)不能嵌套在任意網(wǎng)頁(yè)內(nèi)。
如果你想引用同域的框架的話，可以判斷域名。

if (top.location.host != window.location.host) {
　　top.location.href = window.location.href;
}

當(dāng)然，如果你網(wǎng)頁(yè)不同域名的話，上述就會(huì)報(bào)錯(cuò)。
所以，這里可以使用try...catch...進(jìn)行錯(cuò)誤捕獲。如果發(fā)生錯(cuò)誤，則說明不同域，表示你的頁(yè)面被盜用了?？赡苡行g覽器這樣寫是不會(huì)報(bào)錯(cuò)，所以需要降級(jí)處理。
這時(shí)候再進(jìn)行跳轉(zhuǎn)即可.

try{
　　top.location.hostname;  //檢測(cè)是否出錯(cuò)
　　//如果沒有出錯(cuò)，則降級(jí)處理
　　if (top.location.hostname != window.location.hostname) { 
　　　　top.location.href =window.location.href;
　　}
}
catch(e){
　　top.location.href = window.location.href;
}

這只是瀏覽器端，對(duì)iframe頁(yè)面的權(quán)限做出相關(guān)的設(shè)置。
我們還可以在服務(wù)器上，對(duì)使用iframe的權(quán)限進(jìn)行設(shè)置.

X-Frame-Options是一個(gè)相應(yīng)頭，主要是描述服務(wù)器的網(wǎng)頁(yè)資源的iframe權(quán)限。目前的支持度是IE8+(已經(jīng)很好了啊喂)
有3個(gè)選項(xiàng):

DENY：當(dāng)前頁(yè)面不能被嵌套iframe里，即便是在相同域名的頁(yè)面中嵌套也不允許,也不允許網(wǎng)頁(yè)中有嵌套iframe
SAMEORIGIN：iframe頁(yè)面的地址只能為同源域名下的頁(yè)面
ALLOW-FROM：可以在指定的origin url的iframe中加載

簡(jiǎn)單實(shí)例:

X-Frame-Options: DENY
拒絕任何iframe的嵌套請(qǐng)求

X-Frame-Options: SAMEORIGIN
只允許同源請(qǐng)求，例如網(wǎng)頁(yè)為 foo.com/123.php，則 foo.com 底下的所有網(wǎng)頁(yè)可以嵌入此網(wǎng)頁(yè)，但是 foo.com 以外的網(wǎng)頁(yè)不能嵌入


X-Frame-Options: ALLOW-FROM http://s3131212.com
只允許指定網(wǎng)頁(yè)的iframe請(qǐng)求，不過兼容性較差Chrome不支持

X-Frame-Options其實(shí)就是將前端js對(duì)iframe的把控交給服務(wù)器來進(jìn)行處理。

//js
if(window != window.top){
    window.top.location.href = window.location.href;
}
//等價(jià)于
X-Frame-Options: DENY

//js
if (top.location.hostname != window.location.hostname) { 
　　　　top.location.href =window.location.href;
}
//等價(jià)于
X-Frame-Options: SAMEORIGIN

該屬性是對(duì)頁(yè)面的iframe進(jìn)行一個(gè)主要限制，不過，涉及iframe的header可不止這一個(gè)，另外還有一個(gè)Content Security Policy, 他同樣也可以對(duì)iframe進(jìn)行限制，而且，他應(yīng)該是以后網(wǎng)頁(yè)安全防護(hù)的主流。

和X-Frames-Options一樣，都需要在服務(wù)器端設(shè)置好相關(guān)的Header. CSP 的作用， 真的是太大了，他能夠極大的防止你的頁(yè)面被XSS攻擊，而且可以制定js,css,img等相關(guān)資源的origin，防止被惡意注入。不過他的兼容性，也是渣的一逼。目前支持Edge12+ 以及 IE10+。
而且目前市面上，流行的是3種CSP頭，以及各種瀏覽器的兼容性

使用主要是在后端服務(wù)器上配置，在前端，我們可以觀察Response Header 里是否有這樣的一個(gè)Header:

Content-Security-Policy: default-src "self"

這就表明，你的網(wǎng)頁(yè)是啟用CSP的。
通常我們可以在CSP后配置各種指定資源路徑，有

default-src,
script-src,
style-src,
img-src,
connect-src,
font-src,
object-src,
media-src,
sandbox,
child-src,
...

如果你未指定的話，則是使用default-src規(guī)定的加載策略.
默認(rèn)配置就是同域: default-src "self".
這里和iframe有一點(diǎn)瓜葛的就是 child-src 和 sandbox.
child-src就是用來指定iframe的有效加載路徑。其實(shí)和X-Frame-Options中配置allow-origin是一個(gè)道理。不過,allow-origin 沒有得到廠商們的支持。
而，sandbox其實(shí)就和iframe的sandbox屬性（下文介紹）,是一樣一樣的，他可以規(guī)定來源能夠帶有什么權(quán)限.
來個(gè)demo:

Content-Security-Policy: child-src "self" http://example.com; sandbox allow-forms allow-same-origin

此時(shí)，iframe的src就只能加載同域和example.com頁(yè)面。 最后再補(bǔ)充一點(diǎn): 使用CSP 能夠很好的防止XSS攻擊，原理就是CSP會(huì)默認(rèn)escape掉內(nèi)聯(lián)樣式和腳本，以及eval執(zhí)行。但是，你可以使用srcipt-src進(jìn)行降低限制.

Content-Security-Policy: script-src "unsafe-inline"

如果想更深入的了解CSP,可以參閱:CSP,中文CSP,H5rock之CSP
ok, 上面基本上就是防止自己頁(yè)面被嵌套而做的一些安全防護(hù)工作。 當(dāng)然，我們面臨的安全問題還有一個(gè)，就是當(dāng)iframe別人的頁(yè)面時(shí)，我們需要對(duì)其進(jìn)行安全設(shè)限，雖然，跨域時(shí)iframe的安全性會(huì)大很多，但是，互聯(lián)網(wǎng)是沒有安全的地方。在以前，我們會(huì)進(jìn)行各種trick來防止自己的頁(yè)面被污染，現(xiàn)在h5提供的一個(gè)新屬性sandbox可以很好的解決這個(gè)問題。

sandbox就是用來給指定iframe設(shè)置一個(gè)沙盒模型限制iframe的更多權(quán)限.
sandbox是h5的一個(gè)新屬性,IE10+支持(md~).
啟用方式就是使用sandbox屬性:

這樣會(huì)對(duì)iframe頁(yè)面進(jìn)行一系列的限制:

1. script腳本不能執(zhí)行
2. 不能發(fā)送ajax請(qǐng)求
3. 不能使用本地存儲(chǔ)，即localStorage,cookie等
4. 不能創(chuàng)建新的彈窗和window
5. 不能發(fā)送表單
6. 不能加載額外插件比如flash等

看到這里，我也是醉了。 好好的一個(gè)iframe，你這樣是不是有點(diǎn)過分了。 不過，你可以放寬一點(diǎn)權(quán)限。在sandbox里面進(jìn)行一些簡(jiǎn)單設(shè)置

常用的配置項(xiàng)有:

可以通過在sandbox里，添加允許進(jìn)行的權(quán)限.

這樣，就可以保證js腳本的執(zhí)行，但是禁止iframe里的javascript執(zhí)行top.location = self.location。
哎，其實(shí)，iframe的安全問題還是超級(jí)有的。比如location劫持，Refers檢查等。 不過目前而言，知道怎么簡(jiǎn)單的做一些安全措施就over了，白帽子們會(huì)幫我們測(cè)試的。

iframe就是一個(gè)隔離沙盒，相當(dāng)于我們?cè)谝粋€(gè)頁(yè)面內(nèi)可以操控很多個(gè)標(biāo)簽頁(yè)一樣。如果踩坑的童鞋應(yīng)該知道，iframe的解決跨域也是很有套套的。
首先我們需要明確什么是跨域。
瀏覽器判斷你跨沒跨域，主要根據(jù)兩個(gè)點(diǎn)。 一個(gè)是你網(wǎng)頁(yè)的協(xié)議(protocol)，一個(gè)就是你的host是否相同，即，就是url的首部:

window.location.protocol +window.location.host

具體的例子就是:

需要強(qiáng)調(diào)的是，url首部必須一樣，比如:二級(jí)域名或者IP地址，都算是跨域.

//域名和域名對(duì)應(yīng)ip, 跨域
http://www.a.com/a.js
http://70.32.92.74/b.js

//統(tǒng)一域名，不同二級(jí)域名。 跨域
http://www.a.com/a.js
http://a.com/b.js

對(duì)于第二種方式的跨域（主域相同而子域不同）,可以使用iframe進(jìn)行解決。
在兩個(gè)不同子域下(某一方使用iframe嵌套在另一方)，
即:
http: //www.foo.com/a.html和http: //script.foo.com/b.html
兩個(gè)文件中分別加上document.domain = ‘foo.com’,指定相同的主域，然后,兩個(gè)文檔就可以進(jìn)行交互。

//b.html是以iframe的形式嵌套在a.html中

//www.foo.com上的a.html

document.domain = "foo.com";
var ifr = document.createElement("iframe");
ifr.src = "http://script.foo.com/b.html";
ifr.style.display = "none";
document.body.appendChild(ifr);
ifr.onload = function(){
    var doc = ifr.contentDocument || ifr.contentWindow.document;
    // 在這里操縱b.html
    alert(doc.getElementsByTagName("h1")[0].childNodes[0].nodeValue);
};
//script.foo.com上的b.html

document.domain = "foo.com";

默認(rèn)情況下document.domain 是指window.location.hostname. 你可以手動(dòng)更改，但是最多只能設(shè)置為主域名。 通常，主域名就是指不帶www的hostname, 比如: foo.com , baidu.com 。 如果，帶上www或者其他的前綴，就是二級(jí)域名或者多級(jí)域名。通過上述設(shè)置，相同的domain之后，就可以進(jìn)行同域的相關(guān)操作。
另外還可以使用iframe和location.hash，不過由于技術(shù)out了，這里就不做介紹了。

如果你設(shè)置的iframe的域名和你top window的域名完全不同。 則可以使用CDM(cross document messaging)進(jìn)行跨域消息的傳遞。該API的兼容性較好 ie8+都支持.
發(fā)送消息: 使用postmessage方法
接受消息: 監(jiān)聽message事件

該方法掛載到window對(duì)象上，即，使用window.postmessage()調(diào)用.
該方法接受兩個(gè)參數(shù):postMessage(message, targetOrigin):
message: 就是傳遞給iframe的內(nèi)容, 通常是string,如果你想傳object對(duì)象也可以。不過使用前請(qǐng)參考這一句話:

Objects listed in transfer are transferred, not just cloned, meaning that they are no longer usable on the sending side.

意思就是，希望親愛的不要直接傳Object。 如果有條件，可以使用是JSON.stringify進(jìn)行轉(zhuǎn)化。這樣能保證不會(huì)出bug.
targetOrigin: 接受你傳遞消息的域名，可以設(shè)置絕對(duì)路徑，也可以設(shè)置""或者"/"。 表示任意域名都行，"/"表示只能傳遞給同域域名。

來個(gè)栗子:

//當(dāng)前腳本
let ifr = window.frames["sendMessage"];
   //使用iframe的window向iframe發(fā)送message。
ifr.postmessage("give u a message", "http://tuhao.com");
//tuhao.com的腳本
window.addEventListener("message", receiver, false);
function receiver(e) {
    if (e.origin == "http://tuhao.com") {
        if (e.data == "give u a message") {
            e.source.postMessage("received", e.origin);  //向原網(wǎng)頁(yè)返回信息
        } else {
            alert(e.data);
        }
    }
}

當(dāng)targetOrigin接受到message消息之后,會(huì)觸發(fā)message事件。 message提供的event對(duì)象上有3個(gè)重要的屬性，data,origin,source.

data：postMessage傳遞進(jìn)來的值

origin：發(fā)送消息的文檔所在的域

source：發(fā)送消息文檔的window對(duì)象的代理，如果是來自同一個(gè)域，則該對(duì)象就是window，可以使用其所有方法，如果是不同的域，則window只能調(diào)用postMessage()方法返回信息

屬性的使用方法，如上頭那個(gè)demo 說的。 很貼切， 很完美~

iframe的大概我們差不多了解了。 想說的是，iframe 在后面會(huì)越用越少的。但是應(yīng)該是不會(huì)被w3c標(biāo)準(zhǔn)廢除的。到是前端的發(fā)展，真尼瑪太快了，每過一段時(shí)間，一個(gè)新工具，新技術(shù)的出現(xiàn)，好到是好，不過學(xué)的真心蛋疼。不過，我們要以一個(gè)大前端的姿態(tài)要求我們，md,現(xiàn)在不學(xué)，那什么時(shí)候?qū)W~