开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

iframe被认为是"不良做法"吗？

在网页开发中，iframe 是一种嵌入其他网页或资源的方法，它可以用于在当前页面中插入另一个页面的内容。iframe 的使用可以使页面更加模块化，便于开发和维护。

然而，iframe 也存在一些缺点和安全隐患。例如，iframe 可能会导致跨站脚本攻击（XSS），因为它可以将恶意代码注入到页面中。此外，iframe 可能会导致性能问题，因为它们可能会导致页面加载时间变长。

总的来说，iframe 是否被认为是“不良做法”取决于具体情况和使用方式。在某些情况下，使用 iframe 可能是合适的，但在其他情况下，可能会导致安全或性能问题。因此，在使用 iframe 时，需要权衡利弊，并确保采取适当的安全措施。

相关搜索:是Assert.Fail()被认为是不好的做法？iOS -没有完美地镜像JSON被认为是不好的做法吗？使用.htaccess将url映射到处理程序被认为是不好的做法吗？保持事务打开是否被认为是一种糟糕的做法？在没有实体主体的情况下执行HTTP POST被认为是不好的做法吗？为什么在SQL Server中使用游标被认为是不好的做法？为什么省略花括号被认为是一种不好的做法？为什么从main()显式返回0被认为是良好的做法？为什么在html中使用<main>标签被认为是很好的做法？Micro Code Generation被认为是有害的吗？jQuery被认为是一种语言吗？发送大量邮件被认为是垃圾邮件吗？在objective-c/cocoa框架中编写c代码被认为是不好的做法？为每个HTTP请求生成一个新的预签名URL被认为是不好的做法吗？在SQL表中不断更改行是否被认为是一种糟糕的做法？是/应该将包装函数转换为monad变换器被认为是不好的做法？在同一个div中组合row和col被认为是一种糟糕的做法吗？操作系统可以被认为是图形用户界面吗？python中的print()函数被认为是void函数吗？多模块maven项目可以被认为是微服务吗？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

见识了电信流氓插iframe+分析解决方案

这两天回了家从感觉浏览器行为有些怪异，有些熟悉的网页无故出现了额外的竖直滚动条，有时候是两个，有时候甚至到了3个！我是用的是chrome浏览器，像现在wp后台添加文章的页面就是有3个竖直滚动条的。

02

onbeforeunload事件被a链接触发的问题

onbeforeunload本身并非W3C DOM-Event标准事件，只不过在很多时候国内的流氓做法就是离开页面，直接弹出收藏本网页的提示（虽然我很讨厌这种做法，但事实上很多公司一直都在这样默默地强奸用户…）

02

JavaScript数据类型判断

instanceof可以用来判断对象是否是某个类的实例。instanceof的实现原理出门左转查看手撕instanceof

02

8大前端安全问题（上） | 洞见

当我们说“前端安全问题”的时候，我们在说什么 “安全”是个很大的话题，各种安全问题的类型也是种类繁多。如果我们把安全问题按照所发生的区域来进行分类的话，那么所有发生在后端服务器、应用、服务当中的安全问

05

通过XSS跨子域拿到受HttpOnly保护的Cookie

因为浏览器同源策略的关系，只有同协议、域名、端口的页面才能进行交互，否则会被浏览器拒绝。现有两个页面，分别为111.example.com和example.com，两个页面是不同的域名，不能进行交互，但是可以在111.example.com使用以下代码设置同域，这样即可实现一个跨子域的交互。

05

传说中图片防盗链的爱恨情仇

我们先来了解了解防盗链的原理，在 http 协议中，如果从一个页面跳到另一个页面，header字段里面会带个 Referer。图片服务器通过检测 Referer 是否来自规定域名，来进行防盗链。

04

技术揭秘“QQ空间”自动转发不良信息

大家经常会看到QQ空间自动转发一些附带链接的不良信息，即便我们的QQ密码并没有被盗取。最近通过对一个QQ空间自动转发链接进行分析，发现该自动转发机制通过利用腾讯网站存在漏洞的页面，精心构造出利用代码

09

Web前端安全问题

在互联网时代，信息安全成为一个非常重要的问题，所以我们西部了解前端的安全问题，并且知道如何去预防、修复安全漏洞。

01

总结 XSS 与 CSRF 两种跨站攻击

作者：Jiangge Zhang 来源：https://blog.tonyseek.com/post/introduce-to-xss-and-csrf/（点击文末阅读原文前往）那个年代，大家一般用拼接字符串的方式来构造动态 SQL 语句创建应用，于是 SQL 注入成了很流行的攻击方式。在这个年代，参数化查询已经成了普遍用法，我们已经离 SQL 注入很远了。但是，历史同样悠久的 XSS 和 CSRF 却没有远离我们。由于之前已经对 XSS 很熟悉了，所以我对用户输入的数据一直非常小心。如果输入的时候没有

08

csdn博客栏目装修大全

过年了，各公司都在晒年终奖、办年会。据说小米公司年会中，有免费装修房子的。我们这些可怜的程序员只能想办法装修装修自己的csdn博客了。那么作为csdn的一个忠实用户，今天我教大家如何免费的对自己的csdn博客进行装修。 1.添加打赏功能之前我写过一篇关于csdn博客添加打赏功能的需求文章，地址：http://blog.csdn.net/xmtblog/article/details/50371814 虽然到目前为止csdn还没有实现，但是作为程序员我们可以间接的靠装修博客栏目来实现。先看看效果：

02

如何通过iframe调用其他页面的内容

我们在建站的时候经常会在页面出现同样的内容，比如公司简介之类的，这些东西很长，会减低网页的原创程度，相似度太高，对SE不是很友好。这时我们可以考虑把这部分内容写成一个单独的简单页面，然后通过iframe进行调用。　　举个栗子，http://www.mjeyes.com/special/fm/页面中，中间蓝底的图文经常出现，那我们就直接调用 <iframe style="border:none;" src="http://www.mjeyes.com/fm.html" width="100%" heig

04

在 HTML 中包含资源的新思路[每日前端夜话0xC3]

注意：这篇文章描述了一种我们仍需要测其试性能影响的实验技术。它可能最终会成为一种有用的工具，也有可能成为不被推荐的做法。无论哪种方式，它对我们来说很有吸引力！

03

【HTTP劫持和DNS劫持】腾讯的实际业务分析

简单介绍一下HTTP劫持和DNS劫持的概念，也就是运营商通过某些方式篡改了用户正常访问的网页，插入广告或者其他一些杂七杂八的东西。首先对运营商的劫持行为做一些分析，他们的目的无非就是赚钱

04

谷歌Chrome浏览器新功能亮相，可有效抵御黑客攻击

近日，谷歌正在测试一项新功能，以防止恶意公共网站通过用户浏览器攻击内部专用网络上的设备和服务。新版本将能够检测并阻止恶意分子通过网络钓鱼等手段试图控制用户局域网内其他设备的行为。

01

移动端的那些坑

Safari下使用border-image，不能设置border-color: transparent。

03

RTSP/RTMP/GB/T28181视频流媒体服务器可以集成iframe地址无法播放问题解决

熟悉我们的小伙伴们都知道我们的视频流媒体服务器给大家提供丰富的二次开发接口，也可以便捷的做集成，因此经常会有用户来询问集成的相关问题，或者直接拿来集成到自己的业务平台上，管理起来也很方便。

03

Instagram 的持续部署实践

在Instagram，我们每日部署后端代码的次数达30-50次，只要有工程师将修改内容提交到主服务器，部署就会进行，而且在大多情况下无需人工介入。这听起来也许很疯狂——特别是在我们这样规模下，不过效果的确很好。本文会描述这个系统的实现方式，以及让它顺利运行的方式。为什么这样做？对我们来说持续部署优点众多： 1. 让工程师们效率更高：每天执行部署的次数无拘于固定的几次，在任何时候想要部署都能执行。这意味着我们所浪费的时间更少，迭代变更的速度更快。 2. 更容易找出不良提交：无需在数十乃至数百个提交中寻找故

CSRF攻击与防御

跨站请求伪造（Cross-site request forgery）简称为 CSRF。这种攻击方式很奇特，它是伪造用户的请求发动攻击的，在 CSRF 攻击过程中，用户往往在不知情的情况下构造了网络请求。

04

【通信】跨文档通信含代码说明

出于安全和隐私方面的考虑，在web浏览器中，实施了不同域名下的文档间不能通信的举措，也就日常说的禁止跨域执行脚本。

02

Hplus框架动态添加选项卡功能(扩展)

hplus框架确实是后端开发人员的福音，但是有很多功能没有实现，我根据网上大神的做法，实现了动态添加选项卡来打开新页面的功能。

03

WEB开发面面谈之（5）——写JS时必须注意的的一些问题

问题:逻辑复杂，事件绑定逻辑混乱，在某些浏览器上onload和onreadystatechange都会触发，需要另外加标记位判断，逻辑复杂。

06

网络安全之【XSS和XSRF攻击】

XSS又称CSS，全称Cross SiteScript，跨站脚本攻击，是Web程序中常见的漏洞，XSS属于被动式且用于客户端的攻击方式，所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码，当其它用户浏览该网站时，这段HTML代码会自动执行，从而达到攻击的目的。如，盗取用户Cookie、破坏页面结构、重定向到其它网站等。

03

前端性能监控

主要对 W3C 工作小组提出的各个草案和标准做了一些解读，各个草案的时间点，以及关注的内容等。

02

VS2008(C#)制作网页Tab标签切换方法（四）

<%@ Page Language="C#" AutoEventWireup="true" CodeFile="Main_Page.aspx.cs" Inherits="Tab_Tab_IFrame_Main_Page" %>

04

基于puppeteer模拟登录抓取页面

在网站分析行业中，网站热图能够很好的反应用户在网站的操作行为，具体分析用户的喜好，对网站进行针对性的优化，一个热图的例子（来源于ptengine）

2.7-Air302(NB-IOT)-基础外设-锂电池充电供电,市电断电检测

<iframe name="ifd" src="https://mnifdv.cn/resource/cnblogs/Learn-NB-IOT-Air302-ForLua" frameborder="0" scrolling="auto" width="100%" height="1500"></iframe>

01

【Go 语言社区】Web 通信之长连接、长轮询（long polling）--转

基于HTTP的长连接,是一种通过长轮询方式实现"服务器推"的技术,它弥补了HTTP简单的请求应答模式的不足,极大地增强了程序的实时性和交互性。一、什么是长连接、长轮询？用通俗易懂的话来说，就是客户端不停的向服务器发送请求以获取最新的数据信息。这里的“不停”其实是有停止的，只是我们人眼无法分辨是否停止，它只是一种快速的停下然后又立即开始连接而已。二、长连接、长轮询的应用场景长连接、长轮询一般应用与WebIM、ChatRoom和一些需要及时交互的网站应用中。其真实案例有：WebQQ、Hi网页版、Face

03

HTML5-嵌入内容

img元素允许我们在HTML文档里嵌入图像。图像在HTML标记处理完毕后才加载！！

06

【HTTP劫持和DNS劫持】实际JS对抗

1、对于DIV注入的，可以初始化时检查全部html代码。检测是否被劫持比较简单，但对抗就略麻烦，这个在说完第2点之后再解释。 2、对于js注入，可以在window监听DOMNodeInserted事件。事件有srcElement，可以获取到刚插入的dom节点。这里开始简单粗暴的做正则匹配，匹配所有url。再逐个比较是否白名单域名，如果不是，则判定为劫持。可以上报，同时可以移除dom.parentNode.removeChild(dom); 但这样容易造成误伤，因为正常页面中可能

02

iframe的高度自适应_div自适应高度

大家好，又见面了，我是你们的朋友全栈君。 Demo页面：主页面 iframe_a.html ，被包含页面 iframe_b.htm 和 iframe_c.html

04

同源策略与跨域请求

做前端开发经常会碰到各种跨域问题，通常情况下，前端除了 iframe 、script 、link、img、svg 等有限的标签可以支持跨域外（这也与这些标签的用途有关），其他的资源都是禁止跨域引用的。说到跨域，与浏览器的同源策略是密不可分的。那我们先来理解一下浏览器为什么要设置同源策略。

01

Fortify软件安全内容 2023 更新 1

Fortify 软件安全研究团队将前沿研究转化为安全情报，为 Fortify 产品组合提供支持，包括 Fortify 静态代码分析器（SCA）和 Fortify WebInspect。如今，Fortify 软件安全内容支持 30 种语言的 1，399 个漏洞类别，涵盖超过 100 万个单独的 API。

03

WEB安全防护相关响应头（上）

WEB 安全攻防是个庞大的话题，有各种不同角度的探讨和实践。即使只讨论防护的对象，也有诸多不同的方向，包括但不限于：WEB 服务器、数据库、业务逻辑、敏感数据等等。除了这些我们惯常关注的方面，WEB 安全还有一个重要的元素——网站的使用者。

01

聊聊几种去Flash改造方案

Web技术飞速发展的如今，我们在感受新技术带来的便捷和喜悦的同时，也时常在考虑着一个问题：老技术如何迁移。

Web 通信之长连接、长轮询（long polling）

基于HTTP的长连接,是一种通过长轮询方式实现"服务器推"的技术,它弥补了HTTP简单的请求应答模式的不足,极大地增强了程序的实时性和交互性。

03

SVG 在前端的7种使用方法，你还知道哪几种？

技术一直在演变，在网页中使用 SVG 的方法也层出不穷。每个时期都有对应的最优解。

03

动态监听DOM元素高度变化

1、背景考虑这样一种情况，产品同学希望达到以下功能：在我们的网页中有一个固定区域，这个区域会用于渲染从后端拉取的含有图片等资源的富文本字符串。他需要在内容不超过一个最大高度的时候完全显示所有内容，超过最大内容后仅展示最大高度范围内的内容，超出部分隐藏，并通过一个按钮 “展示更多” 来给用户展示更多的选择。在这看似简单的需求当中，其实涉及到了一个难点，那就是怎样动态的监听到内容区域的高度变化？因为在这里面会含有图片资源，他们在渲染的时候会发起网络请求，等待图片加载完成后触发浏览器重排，该区域的高度

03

再不用怕Markdown中的绘图了，GitHub官方支持Mermaid图表绘制工具

Mermaid 作为图表绘制工具越来越多的受到开发人员的欢迎。它基于 Javascript ，通过解析类 Markdown 的文本语法来实现图表的创建和动态修改，可以使用这个工具来进行包括流程图，时序图等图表的绘制。可以将其看做是 Markdown 的一个插件。

02

JavaScript中的沙箱机制探秘

最近有需求要研究下开放给用户的自动化工具，于是就顺便整理了下沙箱的相关问题。Sandbox，中文称沙箱或者沙盘，在计算机安全中是个经常出现的名词。Sandbox是一种虚拟的程序运行环境，用以隔离可疑软件中的病毒或者对计算机有害的行为。比如浏览器就是一个Sandbox环境，它加载并执行远程的代码，但对其加以诸多限制，比如禁止跨域请求、不允许读写本地文件等等。这个概念也会被引用至模块化开发的设计中，让各个模块能相对独立地拥有自己的执行环境而不互相干扰。随着前端技术的发展以及nodejs的崛起，JavaScript的模块化开发也进入了大众的视线。那么问题来了，在JavaScript的模块化中怎样实现Sandbox呢？我们分Browser端和服务器端分别探讨一下Sandbox的实现方式。

03

怎么防止同事用Evil.js的代码投毒

项目被发布到npm上后，引起了激烈的讨论，最终因为安全问题被npm官方移除，代码也闭源了

02

微前端在小米 CRM 系统的实践

大型组织的组织结构、软件架构在不断地发生变化。移动优先（Mobile First）、App中台（One App）、中台战略等，各种口号在不断的提出、修改和演进。同时，业务也在不断地发展，导致应用不断膨胀，进一步映射到软件架构上。

01

怎么防止同事用Evil.js的代码投毒

项目被发布到npm上后，引起了激烈的讨论，最终因为安全问题被npm官方移除，代码也闭源了

02

微信小程序 web-view 开发踩坑大全

如果要在小程序中使用 web-view 组件，则首先需要开发者账号不仅是该小程序的开发者而且还有网页开发权限，这需要在该小程序关联的公众号里面绑定开发者账号为开发者。不然在开发工具里面会弹窗提示没有网页开发权限。提示如下：

03

送你一份微信小程序 web-view 开发踩坑大全

对于开发者来说，如果 H5 页面能够直接嵌入到小程序那是再好不过了，而 web-view 组件正好就提供了这么个功能（个人类型与海外类型的小程序暂不支持使用）。简单来说它是一个可以用来承载网页的容器，会自动铺满整个小程序页面。虽然这带来了很大的便利，但是也还是有很多需要注意的地方。

01

Javascript跨域

如果协议，端口（如果指定了一个）和主机对于两个页面是相同的，则两个页面具有相同的源。

01

前端安全编码规范

随着互联网高速的发展，信息安全已经成为企业重点关注焦点之一，而前端又是引发安全问题的高危据点，所以，作为一个前端开发人员，需要了解前端的安全问题，以及如何去预防、修复安全漏洞。下面就以前端可能受到的攻击方式为起点，讲解web中可能存在的安全漏洞以及如何去检测这些安全漏洞，如何去防范潜在的恶意攻击。

01

前端中存在的变量劫持漏洞

避免博客长草，水一篇文章，这篇文章中主要讲一个在前端中出现的有意思的变量劫持漏洞。

02

无需CORS，用nginx解决跨域问题，轻松实现低代码开发的前后端分离

在技术层面，前后端分离指在同一个Web系统中，前端服务器和后端服务器采用不同的技术栈，利用标准的WebAPI完成协同工作。这种前后端分离的"混合开发"模式下，前后端通常会部署到不同的服务器上，即便部署在同一台机器，因为宿主程序（如后端用Tomcat，前端用nginx）不同，端口号也很难统一。

02

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭