HTML页面中嵌入其他页面的方法

在自己的页面中嵌入其他页面是一个非常重要的操作，既能丰富自己的页面样式又能增强页面的信息量。

举个例子，如果打算在自己的页面中插入一个视频网站的视频该怎么做呢？

假如我现在自己的页面中嵌入这个视频，

我只需要在视频下侧找到"分享"。

点击之后出现这样的对话框，如图：

通过在我们的页面中粘贴这段通用代码就可以显示这个视频了。

代码如下：

<iframe height=498 width=510 src='http://player.youku.com/embed/XNDQ5Mjg1MTU1Mg==' frameborder=0 'allowfullscreen'></iframe>

下面就写到我们的页面中试试吧。

首先复制"第一个网页.html"文件，改名为"在页面中嵌入页面.html"保存，然后用记事本打开，修改<head></head>标签中的<title>第一个页面</title>编辑为"在页面中嵌入页面"即可，完整代码如下：

<!DOCTYPE HTML>
  <html>
  <head> 
  <title>在页面中嵌入页面</title>
  </head> 
  <body>
  <iframe height=498 width=510 src='http://player.youku.com/embed/XNDQ5Mjg1MTU1Mg==' frameborder=0 'allowfullscreen'></iframe>
  </body>
  </html>

页面效果如下：

怎么样，是不是很神奇！

下面我们来分析一下这段代码的含义。

首先要引入一个新标签<iframe>，HTML的使用手册中翻译为"框架"，说实话，这么翻译初学者是不知所云的。这个框架元素的主要作用就是在自己的页面中嵌入其他页面。

在<iframe>标签中先指定路径属性即src。这里使用的是单引号，实际上只要是半角符号，单引号和双引号都可以的。

然后设置长宽属性，即width和height，大家可以尝试改变数据看看。

frameborder可以为iframe的窗口指定一个边框，大家可以尝试把0改成1看看。大家注意哈，这里输入30和输入1是一样的，因为这个属性不是定义边框的宽度，而是定义是否显示边框！在编程中叫做布尔值，0代表没有边框，1代表有边框！和我们点灯的开关一样！

如图：多了个边框出来。

最后'allowfullscreen'这个描述非常的奇葩，把它删掉没有任何影响。不晓得是干什么的，主要是也不符合html的语法（也可能是我没见识）。如果有详细了解的小伙伴欢迎留言指教，感激不尽。

下面我们尝试修改一下src属性，给它一个别的路径看看。例如:

<!DOCTYPE HTML>
  <html>
  <head> 
  <title>在页面中嵌入页面</title>
  </head> 
  <body>
  <iframe height=498 width=510 src='https://www.toutiao.com/i6790673377188119052/'>
  </iframe>
  </body>
  </html>

需要注意的是，修改了src并保存文件之后要把原页面关闭然后重新打开才可以正常显示！

效果如下：

在浏览网页时我们还经常遇到这样的情况，就是有一个独立窗口显示嵌套的页面，上面有个标题，一点击就会跳到那个嵌入的页面上，这个其实很简答，使用一个<a></a>元素即可办到，示例代码如下:

<a href="https://www.toutiao.com/i6790673377188119052/">HTML中的块级元素与内联元素——零基础自学网页制作</a>
<iframe height=498 width=510 src='https://www.toutiao.com/i6790673377188119052/'></iframe>

页面示例如下：

框架元素并没有换行，所有我们可以推测出<iframe>标签实际上是个内联元素，如何让它换行呢？

为<iframe>的style属性中写入display:block即可。这句代码的意思是按照块元素来显示<iframe>内容。

示例代码如下：

<iframe height=498 width=510 style = "display:block;"src='https://www.toutiao.com/i6790673377188119052/'></iframe>

页面效果如下：

是不是很有意思。

下面我们来介绍一个更有趣的玩法。如图所示：

这个怎么做呢？

这就要介绍<iframe>标签中的另一个属性：name（名字）

示例代码如下：name="iframe"

<iframe name = "iframe" height=498 width=510style = "display:block;"src='https://www.toutiao.com/i6790673377188119052/'allowfullscreen'></iframe>

这里讲个题外话，如果大家了解中国古代的"请神术"的话就会知道这样一个有趣的传说，就是如果我们能叫出鬼神的名字就可以驱使它。

编程也是这样，我们给函数或变量一个名字后，就可以随时随地的驱使它。

现在我们给<iframe>起了个名字叫做"iframe"，当然您可以使用其他名字也没问题，但要使用英文或汉语拼音命名，名字是英语字母组合最好。

有了名字之后，<a>标签就要驱使<iframe>标签来显示自己路径下的内容，如何驱使呢？

大家还记得<a>标签中有一个target属性吗？只要让target="iframename"即可！

也就是target="iframe"。示例代码如下：大家要注意的是<a>标签也是内联元素，也需要添加display:block，不然也是排在一列显示。

<a style = "display:block;" target="iframe" href="https://www.toutiao.com/i6790673377188119052/">HTML中的块级元素与内联元素——零基础自学网页制作</a><!--第一个a链接的是头条文章-->
<a style = "display:block;" target="iframe" href="https://baike.baidu.com/item/%E6%AD%BC-20/1555348?fromtitle=%E6%AD%BC20&fromid=1838467&fr=aladdin"> 歼20战斗机百科</a><!--第二个a链接的是百度百科-->
<a style = "display:block;"target="iframe" href="image1.jpg">IT美女</a><!--第三个a链接的是本地图片-->
<iframe name = "iframe" height=498 width=510style = "display:block;"></iframe>

只要我们为不同的<a>标签赋予target="iframe"的属性，点击这些<a>标签就可以在叫做"iframe"的框架元素中显示自己的页面。这时我们可以把<iframe>标签中的src属性删除掉，保存文件后，关闭测试网页，再重新打开，效果如下:

初始状态下，因为框架元素中的src是空的，所以打开后是空白的。如果您觉得单调可以任意复制3个<a>中的一个href中的链接路径给<iframe>的src属性，打开就是相应的标签。这个就不演示了，大家自己试试即可。

点击第一个链接效果如下：

点击第二个链接如下：

点击第三个链接如下：

最后再强调一下，改完框架的src属性后需要关闭页面后重新打开才可以，刷新的话并不能正确显示！切记！

今天的示例代码如下：

<!DOCTYPE HTML>
  <html>
  <head> 
  <title>在页面中嵌入页面</title>
  </head> 
  <body>
  <a style = "display:block;" target="iframe" href="https://www.toutiao.com/i6790673377188119052/">HTML中的块级元素与内联元素——零基础自学网页制作</a>
  <a style = "display:block;" target="iframe" href="https://baike.baidu.com/item/%E6%AD%BC-20/1555348?fromtitle=%E6%AD%BC20&fromid=1838467&fr=aladdin">歼20战斗机百科</a>
<a style = "display:block;" target="iframe" href="image1.jpg">IT美女</a>
<iframe name = "iframe" height=498 width=510 style = "display:block;"></iframe>
</body>
</html>

今天的内容结束了，明天我将会为大家介绍<object>和<embed>这两个标签，它们可以在页面中嵌入更多有趣的东西。

喜欢的小伙伴请关注我，阅读中遇到任何问题请给我留言，如有疏漏或错误欢迎大家斧正，不胜感激！

HTML完整学习目录

HTML序章（学习目的、对象、基本概念）——零基础自学网页制作

HTML是什么？——零基础自学网页制作

第一个HTML页面如何写？——零基础自学网页制作

HTML页面中head标签有啥用？——零基础自学网页制作

初识meta标签与SEO——零基础自学网页制作

HTML中的元素使用方法1——零基础自学网页制作

HTML中的元素使用方法2——零基础自学网页制作

HTML元素中的属性1——零基础自学网页制作

HTML元素中的属性2（路径详解）——零基础自学网页制作

使用HTML添加表格1（基本元素）——零基础自学网页制作

使用HTML添加表格2（表格头部与脚部）——零基础自学网页制作

使用HTML添加表格3（间距与颜色）——零基础自学网页制作

使用HTML添加表格4（行颜色与表格嵌套）——零基础自学网页制作

16进制颜色表示与RGB色彩模型——零基础自学网页制作

HTML中的块级元素与内联元素——零基础自学网页制作

初识HTML中的<div>块元素——零基础自学网页制作

在HTML页面中嵌入其他页面的方法——零基础自学网页制作

封闭在家学网页制作！为页面嵌入PDF文件——零基础自学网页制作

HTML表单元素初识1——零基础自学网页制作

HTML表单元素初识2——零基础自学网页制作

HTML表单3（下拉列表、多行文字输入）——零基础自学网页制作

HTML表单4（form的action、method属性）——零基础自学网页制作

HTML列表制作讲解——零基础自学网页制作

为HTML页面添加视频、音频的方法——零基础自学网页制作

音视频格式转换神器与html视频元素加字幕——零基础自学网页制作

HTML中使用<a>标签实现文本内链接——零基础自学网页制作

前言

　　在跨域请求不同服务方或是兼容先前系统的页面时，你可能想利用AJAX从网页上下载HTML并粘贴到div中，这将带来不安全注入的问题。

　　此时，通过iframe页面嵌入可以很好地解决上述问题。

本文带您了解iframe内联框架，帮助您提高页面集成效率和复用率，一次开发，多次使用。同时，解决在使用iframe跨域访问时，第三方cookie暂存转发问题。

　　iframe安全嵌入方案

　　iframe嵌入是一种快速的表示集成方法，具有以下三方面优点：

　　1.iframe是一个全新的独立的宿主环境，用于隔离或者访问原始接口及对象，并能够原封不动地将嵌入的网页展现出来；

　　2.如果有多个网页引用iframe，只需要修改iframe的内容，就可以实现调用的每一个页面内容的更改，方便快捷；

　　3.重载页面时不需要重载整个页面，只需要重载页面中的一个框架页。

　　例如，以vue工程为例，我们可以很轻松地嵌入iframe页面，轻松实现页面集成。

<template>

<div style="padding-top:10px;height:auto">

<iframe id='mainFrame' name='mainFrame' ref='mainFrame' :src="iframeUrl" target="_blank" height='1000px' frameborder="0" width="100%" ></iframe>

</div>

</template>

<script>

export default {

name: 'MyTestResource',

data() {

return{

iframeUrl: "",

}

},

created(){

this.iframeUrl = http://40. + "xxx-ev/ev/xxx/RedirectITA?toUrl=zycx&resouceCode=BBB&token=" + getLocalStorageToken()

},

　　在嵌入第三方服务页面时，需要处理统一身份认证和保持登录状态的问题，下图所示为iframe安全注入方案示例。

　　iframe安全注入服务流程为，用户在本方服务页面进行登录，本方服务向统一身份认证平台验证用户服务权限并得到本方服务令牌。

　　当用户访问嵌入第三方服务的iframe页面时，本方服务向统一身份认证平台验证用户服务权限并得到第三方服务令牌，通过URL传送给第三方服务，第三方服务解析后向统一身份认证平台验证该用户权限令牌信息，若用户权限令牌信息正确则提供服务。

　　其中第三方服务对iframe 嵌入可以通过如下配置方式实现。

　　IE浏览器配置

　　为了控制iframe嵌入的权限，需要在Headers里面加入X-Frame-Options字段，其有三种值可以配置，具体如下表格所示。

　　Chrome、Edge浏览器配置

　　经过测试发现X-Frame-Options 对Chrome及Edge浏览器不起作用，需要配置Content-Security-Policy: frame-ancestors 对iframe 页面嵌入进行安全控制。

　　X-Frame-Options及 Content-Security-Policy 可以同时配置多个白名单，具体如下：

　　Content-Security-Policy:

　　frame-ancestors http://aaa.com http://bbb.com http://ccc.com

　　X-Frame-Options:

　　ALLOW-FROM http://aaa.com,http://bbb.com,http://ccc.com

　　对于Nginx、apache 、IIS、tomcat 等不同的中间件有不同的配置方法，再次不再赘述，读者可以根据需要的场景进行不同配置。

　　浏览器访问iframe问题

　　我们在访问iframe 嵌入页面的时候，从本系统前端调用系统后台服务后，sendRedirect到第三方系统后台服务，对X-Frame-Options头进行了验证后，正常应该跳转到请求页面并对本系统浏览器进行内容响应。

　　实际使用过程中却发生了奇怪的现象，第三方服务验证X-Frame-Options跨站验证后，302 跳转到了请求页面，又302 调用了登出接口，截止302 调用了登录接口，最终为用户响应了登录页面，如下图所示。

　　猜测一下，问题可能出在以下几个方面：

　　1.第三方服务调用统一安全认证服务失败，跳转登录页面，但是并没有安全认证失败的响应信息；

　　2.第三方服务没有用户信息，跳转登录页面；

　　3.第三方请求跳转页面时，对用户信息进行了基于浏览器信息的再次认证，失败并跳转登录页面。

　　经过验证更换其他浏览器后，页面可以正常访问，说明统一安全认证无问题，且用户信息也验证正常，因此问题应该是第三种情况。

　　浏览器访问iframe解决方案

　　经过分析发现，Chrome内核51版本开始，其对于Cookie的控制新增加了一个SameSite属性，用来防止CSRF攻击和用户追踪。

　　由第三方提供iframe嵌入页面服务的Cookie在Chrome内核被认为是第三方Cookie，浏览器默认会禁止第三方Cookie跨域传送，这里就涉及到浏览器Cookie 的SameSite属性。

　　SameSite 可以有下面三种值：

　　1.Strict仅允许一方请求携带 Cookie，即浏览器将只发送相同站点请求的 Cookie，即当前网页 URL 与请求目标 URL 完全一致；

　　2.Lax允许部分第三方请求携带 Cookie；

　　3.None无论是否跨站都会发送 Cookie。

　　通过下面表格，我们可以清晰看到，不同请求类型下，SameSit属性对第三方Cookie 的响应方式。

　　从上表可以看出，对大部分 web 应用而言，Post 表单、iframe、AJAX这三种情况从以前的跨站会发送三方Cookie，变成了不发送。

　　故这三种情况跨站给第三方发送Cookie需要在设置的时候将SameSite设置为None。

　　通过研究，我们发现可以通过配置Chrome 、Edge浏览器SameSite 属性可以有效解决该问题。

　　低于91版本的Chrome浏览器

　　Chrome中访问地址chrome://flags/ 搜索samesite 将same-site-by-default-cookies，和SameSite by default cookies这两项设置为Disabled后重启浏览器再运行项目即可解决。该设置默认情况下会将未指定SameSite属性的请求看做SameSite=Lax来处理。

　　Chrome及Edge浏览器

　　打开浏览器快捷方式的属性，在目标后添加

　　--disable-features=SameSiteByDefaultCookies,CookiesWithoutSameSiteMustBeSecure ，点击应用、确定按钮，重启浏览器后生效。

　　"C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe"

　　通过执行脚本直接生成有效的快捷方式

chcp 65001

echo 正在创建桌面快捷方式，请勿关闭本窗口.

::设置程序或文件的完整路径（必选）

set Program=%cd%\chrome.exe

::设置快捷方式名称（必选）

set LnkName=SSSChrome

::设置程序的工作路径，一般为程序主目录，此项若留空，脚本将自行分析路径

set WorkDir=%cd%

::设置快捷方式显示的说明（可选）

set Desc=SSSChrome

if not defined WorkDir call:GetWorkDir "%Program%"

(echo Set WshShell=CreateObject("WScript.Shell"^)

echo strDesKtop=WshShell.SpecialFolders("DesKtop"^)

echo Set oShellLink=WshShell.CreateShortcut(strDesKtop^&"\%LnkName%.lnk"^)

echo oShellLink.TargetPath="%Program%"

echo oShellLink.Arguments="--disable-features=SameSiteByDefaultCookies,CookiesWithoutSameSiteMustBeSecure"

echo oShellLink.WorkingDirectory="%WorkDir%"

echo oShellLink.WindowStyle=1

echo oShellLink.Description="%Desc%"

echo oShellLink.Save)>makelnk.vbs

echo 桌面快捷方式创建成功！

makelnk.vbs

del /f /q makelnk.vbs

exit

goto :eof

:GetWorkDir

set WorkDir=%~dp1

set WorkDir=%WorkDir:~,-1%

goto :eof

　　从下图我们可以看到，响应请求，由原来的4个302 后跳转到登录页面变为2个302 跳转后正常进入功能页面，解决了请求第三方iframe时不发送Cookie 造成第三方服务认证通过跳转登录页面的问题。

　　总结

　　本文介绍了iframe内联框架，帮助您安全地嵌入iframe页面并提高页面集成效率和复用率，达到代码的高复用和良好的用户体验。

　　请求第三方iframe时，能够对iframe进行请求头验证及统一安全验证，实现iframe页面安全嵌入。针对浏览器访问第三方iframe时存在的第三方Cookie 不能正常发送问题，提供了可行的解决方案，可以为页面嵌入使用方面提供有效的借鉴。

最后：

1）关注+私信回复：“测试”，可以免费领取一份10G软件测试工程师面试宝典文档资料。以及相对应的视频学习教程免费分享！，其中包括了有基础知识、Linux必备、Mysql数据库、抓包工具、接口测试工具、测试进阶-Python编程、Web自动化测试、APP自动化测试、接口自动化测试、测试高级持续集成、测试架构开发测试框架、性能测试等。

2）关注+私信回复："入群" 就可以邀请你进入软件测试群学习交流~~