整合营销服务商
电脑端+手机端+微信端=数据同步管理
免费咨询热线:
电脑端+手机端+微信端=数据同步管理
免费咨询热线:
TML 框架
框架的作用就是把浏览器窗口划分成多个子窗口。
每个子窗口可以载入各自的HTML文档。
框架(frameset)与页面主体body是同级的关系
1.框架的整体结构
<frameset rows="高度"> ~ </frameset>
<frameset cols="宽度"> ~ </frameset>
<frame src="http://www.haook.cn" name="框架名称">
<noframes> ~ </noframes>
属性属性值说明
rowspx , %上下分割窗口
colspx , % 左右分割窗口
srcurl指定要载入到框架的页面地址
name指定框架名称
例 1:上中下分割框架
<frameset rows="高度A,高度B,高度C">
<frame src="1.html" />
<frame src="2.html" />
<frame src="3.html" />
</frameset>
例 2:左右分割框架
<frameset cols="宽度A, 宽度B, 宽度C">
<frame src="1.html" />
<frame src="2.html" />
<frame src="3.html" />
</frameset>
例 3:
<frameset rows="高度A,高度B">
<frame src="top.html" />
<frameset cols="宽度A,宽度B">
<frame src="menu.html" />
<frame src="main.html" />
</frameset>
</frameset>
2.设置框架的显示方式
<frame scrolling="yes" noresize />
<frame marginwidth="左右缩进" marginheight="上下缩进" />
属性属性值说明
scrolling yes、no、auto是否显示滚动条
noresize 禁止改变框架的尺寸大小
marginwidthpx框架内左右的空白区域
marginheightpx框架内上下的空白区域
frameborder1, 0是否显示边框
framespacing0框架与框架之间的空白
border0 边框
3. <iframe> 内嵌框架
<iframe src="URL" name="框架名"> ~ </iframe>
属性属性值说明
widthpx , %指定框架的宽度
heightpx , % 指定框架的高度
scrollingyes,no,auto是否显示滚动条
frameborder1, 0是否显示边框
head 头信息
1.设置页面标题
<title> ~ </title>
2. 设置页面编码
<meta http-equiv="Content-Type" content="text/html; charset="utf-8" />
utf-8 多国语言编码
gb2312 中文简体编码
3. 设置页面关键字,内容介绍
<meta name="keywords" content="关键字1,关键字2,…" />
<meta name="description" content="内容介绍" />
前言
在跨域请求不同服务方或是兼容先前系统的页面时,你可能想利用AJAX从网页上下载HTML并粘贴到div中,这将带来不安全注入的问题。
此时,通过iframe页面嵌入可以很好地解决上述问题。
本文带您了解iframe内联框架,帮助您提高页面集成效率和复用率,一次开发,多次使用。同时,解决在使用iframe跨域访问时,第三方cookie暂存转发问题。
iframe安全嵌入方案
iframe嵌入是一种快速的表示集成方法,具有以下三方面优点:
1.iframe是一个全新的独立的宿主环境,用于隔离或者访问原始接口及对象,并能够原封不动地将嵌入的网页展现出来;
2.如果有多个网页引用iframe,只需要修改iframe的内容,就可以实现调用的每一个页面内容的更改,方便快捷;
3.重载页面时不需要重载整个页面,只需要重载页面中的一个框架页。
例如,以vue工程为例,我们可以很轻松地嵌入iframe页面,轻松实现页面集成。
<template>
<div style="padding-top:10px;height:auto">
<iframe id='mainFrame' name='mainFrame' ref='mainFrame' :src="iframeUrl" target="_blank" height='1000px' frameborder="0" width="100%" ></iframe>
</div>
</template>
<script>
export default {
name: 'MyTestResource',
data() {
return{
iframeUrl: "",
}
},
created(){
this.iframeUrl = http://40. + "xxx-ev/ev/xxx/RedirectITA?toUrl=zycx&resouceCode=BBB&token=" + getLocalStorageToken()
},
在嵌入第三方服务页面时,需要处理统一身份认证和保持登录状态的问题,下图所示为iframe安全注入方案示例。
iframe安全注入服务流程为,用户在本方服务页面进行登录,本方服务向统一身份认证平台验证用户服务权限并得到本方服务令牌。
当用户访问嵌入第三方服务的iframe页面时,本方服务向统一身份认证平台验证用户服务权限并得到第三方服务令牌,通过URL传送给第三方服务,第三方服务解析后向统一身份认证平台验证该用户权限令牌信息,若用户权限令牌信息正确则提供服务。
其中第三方服务对iframe 嵌入可以通过如下配置方式实现。
IE浏览器配置
为了控制iframe嵌入的权限,需要在Headers里面加入X-Frame-Options字段,其有三种值可以配置,具体如下表格所示。
Chrome、Edge浏览器配置
经过测试发现X-Frame-Options 对Chrome及Edge浏览器不起作用,需要配置Content-Security-Policy: frame-ancestors 对iframe 页面嵌入进行安全控制。
X-Frame-Options及 Content-Security-Policy 可以同时配置多个白名单,具体如下:
Content-Security-Policy:
frame-ancestors http://aaa.com http://bbb.com http://ccc.com
X-Frame-Options:
ALLOW-FROM http://aaa.com,http://bbb.com,http://ccc.com
对于Nginx、apache 、IIS、tomcat 等不同的中间件有不同的配置方法,再次不再赘述,读者可以根据需要的场景进行不同配置。
浏览器访问iframe问题
我们在访问iframe 嵌入页面的时候,从本系统前端调用系统后台服务后,sendRedirect到第三方系统后台服务,对X-Frame-Options头进行了验证后,正常应该跳转到请求页面并对本系统浏览器进行内容响应。
实际使用过程中却发生了奇怪的现象,第三方服务验证X-Frame-Options跨站验证后,302 跳转到了请求页面,又302 调用了登出接口,截止302 调用了登录接口,最终为用户响应了登录页面,如下图所示。
猜测一下,问题可能出在以下几个方面:
1.第三方服务调用统一安全认证服务失败,跳转登录页面,但是并没有安全认证失败的响应信息;
2.第三方服务没有用户信息,跳转登录页面;
3.第三方请求跳转页面时,对用户信息进行了基于浏览器信息的再次认证,失败并跳转登录页面。
经过验证更换其他浏览器后,页面可以正常访问,说明统一安全认证无问题,且用户信息也验证正常,因此问题应该是第三种情况。
浏览器访问iframe解决方案
经过分析发现,Chrome内核51版本开始,其对于Cookie的控制新增加了一个SameSite属性,用来防止CSRF攻击和用户追踪。
由第三方提供iframe嵌入页面服务的Cookie在Chrome内核被认为是第三方Cookie,浏览器默认会禁止第三方Cookie跨域传送,这里就涉及到浏览器Cookie 的SameSite属性。
SameSite 可以有下面三种值:
1.Strict仅允许一方请求携带 Cookie,即浏览器将只发送相同站点请求的 Cookie,即当前网页 URL 与请求目标 URL 完全一致;
2.Lax允许部分第三方请求携带 Cookie;
3.None无论是否跨站都会发送 Cookie。
通过下面表格,我们可以清晰看到,不同请求类型下,SameSit属性对第三方Cookie 的响应方式。
从上表可以看出,对大部分 web 应用而言,Post 表单、iframe、AJAX这三种情况从以前的跨站会发送三方Cookie,变成了不发送。
故这三种情况跨站给第三方发送Cookie需要在设置的时候将SameSite设置为None。
通过研究,我们发现可以通过配置Chrome 、Edge浏览器SameSite 属性可以有效解决该问题。
低于91版本的Chrome浏览器
Chrome中访问地址chrome://flags/ 搜索samesite 将same-site-by-default-cookies,和SameSite by default cookies这两项设置为Disabled后重启浏览器再运行项目即可解决。该设置默认情况下会将未指定SameSite属性的请求看做SameSite=Lax来处理。
Chrome及Edge浏览器
打开浏览器快捷方式的属性,在目标后添加
--disable-features=SameSiteByDefaultCookies,CookiesWithoutSameSiteMustBeSecure ,点击应用、确定按钮,重启浏览器后生效。
"C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe"
通过执行脚本直接生成有效的快捷方式
chcp 65001
echo 正在创建桌面快捷方式,请勿关闭本窗口.
::设置程序或文件的完整路径(必选)
set Program=%cd%\chrome.exe
::设置快捷方式名称(必选)
set LnkName=SSSChrome
::设置程序的工作路径,一般为程序主目录,此项若留空,脚本将自行分析路径
set WorkDir=%cd%
::设置快捷方式显示的说明(可选)
set Desc=SSSChrome
if not defined WorkDir call:GetWorkDir "%Program%"
(echo Set WshShell=CreateObject("WScript.Shell"^)
echo strDesKtop=WshShell.SpecialFolders("DesKtop"^)
echo Set oShellLink=WshShell.CreateShortcut(strDesKtop^&"\%LnkName%.lnk"^)
echo oShellLink.TargetPath="%Program%"
echo oShellLink.Arguments="--disable-features=SameSiteByDefaultCookies,CookiesWithoutSameSiteMustBeSecure"
echo oShellLink.WorkingDirectory="%WorkDir%"
echo oShellLink.WindowStyle=1
echo oShellLink.Description="%Desc%"
echo oShellLink.Save)>makelnk.vbs
echo 桌面快捷方式创建成功!
makelnk.vbs
del /f /q makelnk.vbs
exit
goto :eof
:GetWorkDir
set WorkDir=%~dp1
set WorkDir=%WorkDir:~,-1%
goto :eof
从下图我们可以看到,响应请求,由原来的4个302 后跳转到登录页面变为2个302 跳转后正常进入功能页面,解决了请求第三方iframe时不发送Cookie 造成第三方服务认证通过跳转登录页面的问题。
总结
本文介绍了iframe内联框架,帮助您安全地嵌入iframe页面并提高页面集成效率和复用率,达到代码的高复用和良好的用户体验。
请求第三方iframe时,能够对iframe进行请求头验证及统一安全验证,实现iframe页面安全嵌入。针对浏览器访问第三方iframe时存在的第三方Cookie 不能正常发送问题,提供了可行的解决方案,可以为页面嵌入使用方面提供有效的借鉴。
1)关注+私信回复:“测试”,可以免费领取一份10G软件测试工程师面试宝典文档资料。以及相对应的视频学习教程免费分享!,其中包括了有基础知识、Linux必备、Mysql数据库、抓包工具、接口测试工具、测试进阶-Python编程、Web自动化测试、APP自动化测试、接口自动化测试、测试高级持续集成、测试架构开发测试框架、性能测试等。
2)关注+私信回复:"入群" 就可以邀请你进入软件测试群学习交流~~
、介绍
网页浏览器是目前世界上最普遍,最可携的计算机环境。几乎所有人都可以在计算机或是手机上使用网页浏览器,以没有基础设施障碍的方式访问程序。
在 PyCon US 2022 上,知名 Python 发行版 Anaconda 开发商近日宣布了可在浏览器端运行的 Python — PyScript。
根据官方的介绍,PyScript 是一个开发框架,该框架允许在浏览器中运行Python应用。为开发者提供了标准 HTML 中嵌入编写 Python 代码的能力、使用 Python 调用 JavaScript 函数库,以及创建 Python Web 应用。它可以让开发者在HTML中创建丰富的Python应用程序,且Python代码可与JavaScript实现双向通信。
官方表示,通过使用PyScript,Python开发者便不需要担心程序部署问题,因为PyScript让程序直接在网页浏览器中运行,也就是说,可以在HTML文件中,分享开发成果,只要其他人在网页浏览器中打开文件,该文件中的程序代码就会开始运行。
2、原理及安装
官网地址:
https://pyscript.net/
由于PyScript目前仍在alpha测试阶段,读者感兴趣的话,可以从pyscript.net下载尝鲜。
另外,PyScript 是基于 Pyodide来 构建的,Pyodide 由编译成 WebAssembly 的 CPython 3.8 解释器组成,允许在网页浏览器中运行 Python。Pyodide 可以安装来自 PyPi 的任何 Python 包。Pyodide 还包括一个外部函数接口,可以将 Python 包暴露给 JavaScript,并将浏览器 UI,包括 DOM,暴露给 Python。
使用前,需要先下载对应依赖的静态资源文件(CSS、JS),第一种方式直接将文件下载到本地再引入
<link rel="stylesheet" href="path/to/pyscript.css" />
<script defer src="path/to/pyscript.js"></script>
另外一种方式,直接在线引入
<link rel="stylesheet" href="https://pyscript.net/alpha/pyscript.css" />
<script defer src="https://pyscript.net/alpha/pyscript.js"></script>
3、使用示例
用VSCODE或者PyCharm,或者其他任一你喜欢的编辑器,新建HTML文件,编写示例代码,类似如下:
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="utf-8" />
<title>PyScript Hello World</title>
<link rel="stylesheet" href="https://pyscript.net/alpha/pyscript.css" />
<script defer src="https://pyscript.net/alpha/pyscript.js"></script>
</head>
<body>
Hello world! <br>
This is the current date and time, as computed by Python:
<py-script>
from datetime import datetime
now = datetime.now()
now.strftime("%m/%d/%Y, %H:%M:%S")
</py-script>
</body>
</html>
该示例用于在HTML前端页面,利用Python代码实现打印当前时间的功能。
坦白来讲,PyScript 作为一款新面市不久的框架,还存在很多不稳定的问题,分享给各位读者,目的是希望大家能从不同的框架背后,学习借鉴到新的设计思路,取其精华,开阔视野。在没有工作应用场景时,并不需要强制自己去使用,希望大家抱有一种理性的视角来看待新技术、新框架。
以上分享希望对你工作有所帮助、启发,有被帮助到的朋友欢迎点赞,在看、转发。
最后,关于软件测试学习,offer选择等等,都可以通过后台私信交流。需要学习资料或者帮忙修改简历也可以私信!!也可百度搜索“特斯汀软件测试腾讯课堂”或关注公众号“特斯汀软件测试”,里面涵盖很多精彩免费视频或干货知识
*请认真填写需求信息,我们会在24小时内与您取得联系。
