5 популярных песочниц для веб-разработчиков — Блог HTML Academy

Песочницы — это изолированное пространство, онлайн-редакторы кода. Их особенность в том, что вы можете сверстать страницу или написать программу и сразу же увидеть результат работы. В песочнице можно написать фрагмент кода или вести целый проект. Некоторые из таких сервисов, например, JSFiddle, дают возможность командной работы: над одной задачей работает сразу несколько людей.

Песочницы начали массово появляться в 2010–2013 гг. Сейчас часть таких сервисов уходит от привычного понимания песочницы как места для кодинга и развивается как сообщество веб-разработчиков. Внутри сервиса складываются группы пользователей. Можно общаться в Discord, размещать работы в галерее, подписываться на понравившихся разработчиков и дизайнеров.

Для чего нужны песочницы?

Главная задача песочниц — дать пользователю удобное и безопасное место для разработки. Здесь можно учиться кодить и выполнять рабочие задачи. Главное — помнить, что на некоторых сервисах доступы к проектам открыты, поэтому вашу работу могут увидеть остальные.

Код из песочницы можно добавлять на Stack Overflow, Хабр и их аналоги. Благодаря этому разработчик может показать свою работу другим пользователям, чтобы попросить помощи или совета. Или наоборот: помочь кому-то, объяснив решение проблемы.

Часть онлайн-редакторов вышли за рамки стандартных песочниц и создали ленты с трендами и примерами работ. В их числе Codepen и Plunker. На этих ресурсах можно подсмотреть реализацию современной верстки и стилизации, трендовой анимации, а также примеры программ других пользователей. Весь код в открытом доступе, поэтому можно черпать вдохновение и разбираться, как решена та или иная задача. А еще онлайн-редакторы позволяют сразу увидеть и структуру кода, и его отрисовку в браузере. Поэтому ссылки на свои лучшие работы можно добавлять не только в ленту с трендами, но и в портфолио.

Раздел «Тренды» на сайте CodePen

CodePen

CodePen — онлайн-редактор и сообщество разработчиков. Он представляет собой страницу, разделенную на четыре окна. Первые три — рабочие области, редакторы для HTML, CSS и Javascript. Последнее — окно предпросмотра. В нем отображается результат выполнения кода.

Пример игры, сделанной прямо на CodePen

У CodePen гибкие настройки. Для CSS здесь можно выбрать препроцессор Less, Sass или PostCss. Для JavaScript — подключать библиотеки jQuery, Lodash и React.js, использовать фреймворки Angular и Vue.js и другие. Codepen также разрешает использовать пакеты JavaScript из npm, подключать Normalize.css, Autoprefixer или PrefixFree. Вы можете создавать новые шаблоны или экспортировать код.

Настройка проекта в CodePen

Одна из особенностей CodePen — раздел «Тренды». Это лента с работами других разработчиков: версткой, анимацией, программами. Здесь можно черпать вдохновение, изучать реализацию, добавлять понравившиеся работы к себе в шаблоны и подписываться на других пользователей.

JSFiddle

JSFiddle — песочница с функциональностью, похожей на CodePen. Здесь также можно настроить редактор, включить валидатор для проверки кода, выбрать языки и препроцессоры. И главное — JSFiddle предлагает большой выбор библиотек и фреймворков.

В JSFiddle нет блога с интересными работами, но зато её удобно использовать для совместной работы с другими разработчиками в режиме реального времени. Всё, что для этого нужно — отправить ссылку на проект.

Раньше у этой песочницы был недостаток: чтобы увидеть изменения в браузере, предпросмотр приходилось запускать вручную. Сейчас этой проблемы нет: разработчики добавили автоматическое обновление панели просмотра. А вот загрузка изображений пока не работает. Чтобы добавить иллюстрацию, её сначала нужно загрузить на сторонний сервис.

Стандартный шаблон проекта JSFiddle

Plunker

Plunker похож на стандартный редактор кода, в который добавили окно предпросмотра. Чтобы приступить к работе, сначала нужно выбрать библиотеку/фреймворк Angular, React.js, AngularJS или Preact либо остаться на VanillaJS. После этого откроется редактор кода, в котором можно подключать библиотеки и устанавливать пакеты npm. Препроцессоры стилей тоже можно настроить, хотя для новичков это может оказаться непростой задачей.

Как и в CodePen, здесь есть галерея работ с открытым доступом к коду. И главное — в Plunker простая загрузка файлов. Не нужно загружать изображения на сторонние ресурсы: достаточно перетащить их с компьютера в файловое дерево онлайн-редактора.

Пример из галереи работ Plunker

StackBlitz

StackBlitz — это песочница на базе Visual Studio. Здесь можно создавать приложения на Angular, Vue.js, React.js или использовать другие библиотеки и фреймворки. Плюс этого редактора — простая установка npm зависимостей и компиляции, можно устанавливать сразу несколько пакетов. А если скопировать кусок кода и вставить в редактор, песочница сама найдет пропущенные пакеты.

StackBlitz удобен еще и тем, что работает оффлайн: вы сможете заниматься проектом даже без интернета. Еще один плюс этого редактора — простая загрузка файлов. Чтобы добавить картинку в проект, нужно перетянуть её в редактор.

Доступные в StackBlitz библиотеки и фреймворки

CodeSandbox

Песочница CodeSandbox подходит как для создания небольших кусков кода, так и для работы над большим проектом с командой разработчиков. Сервис интегрирован с GitHub, поэтому можно импортировать файлы из существующего репозитория и работать с ними в песочнице. Или наоборот: создать в песочнице новый проект и загрузить на GitHub.

В CodeSandbox большой выбор фреймворков и удобный редактор кода. По желанию окно предпросмотра можно открыть в отдельной вкладке браузера.

Как и на других ресурсах, на CodeSandbox есть раздел с опубликованными проектами. Можно заглянуть в код других разработчиков и посмотреть, как написаны программы. А если появится вопрос — можно написать в Discord.

Пример проекта в CodeSandbox

Перечисленные песочницы — только небольшая часть из размещенных в Сети. Есть еще Replit, JS Bin, CSSDeck и другие редакторы кода, о которых невозможно рассказать в одной статье.

Может ли песочница помочь программисту в работе?

Разработчики используют песочницы не только в личных проектах, но и в работе. Онлайн-редакторы позволяют работать над проектом в одиночку или целой командой, находить решения по созданию программ или элементов верстки, давать коллегам безопасный доступ к коду и тестировать идеи перед переносом в проект. Также песочницы помогают программистам взаимодействовать с заказчиками, когда нужно согласовать вариант реализации задачи. Например, выбрать анимацию или поведение кнопки.

Часть песочниц, в том числе CodeSandbox, ввели корпоративные тарифы для организаций. Компании получают приватный доступ, расширенные разрешения, частные пакеты npm и другие функции, недоступные в бесплатной версии.

В чем недостаток песочниц для начинающих разработчиков?

Проблема песочниц в том, что они позволяют писать код, но не объясняют, как это правильно делать. Поэтому перед использованием редактора нужно получить хотя бы начальные знания о верстке и программировании. Без этого никак.

Еще один недостаток песочниц для начинающих разработчиков — открытые шаблоны. Во-первых, появляется соблазн скопировать чужую работу, не разбираясь в ней. Это плохо, потому что на начальном этапе важно научиться понимать, как работает код. Во-вторых, учиться верстке и программированию, разбирая спонтанно выбранные работы — не очень хорошая идея. Знания должны быть структурированными, а учеба последовательной. Только так можно добиться результата в веб-разработке.

Вот так выглядят задания бесплатных тренажёров HTML Academy

Если чувствуете, что знаний недостаточно, но хотите попробовать себя в верстке и программировании — пройдите бесплатные обучающие тренажёры. Они последовательно познакомят вас с базовыми технологиями веб-разработки. С их помощью вы научитесь создавать страницы для сайта и напишете первые программы на JavaScript.

Попробуйте песочницу со встроенной теорией

Мы так называем тренажёры — они помогут понять, что вам больше всего нравится в веб-разработке.

Регистрация

Нажатие на кнопку — согласие на обработку персональных данных

Онлайн игры песочницы — играть бесплатно на ПК

Суровые средневековые воины собирают ресурсы, строят, сражаются в PvP и вместе уничтожают боссов. Их оружие совершенствуется, а богатство растет.

В закрытой сфере зародится жизнь. Вы построите водную экосистему из песка, воды, водорослей и рыбок, чтобы ставить эксперименты и наблюдать за развитием.

Кубические замки – виртуальный мир с развлечениями. В нем добывают ресурсы, строят дома, находят друзей и участвуют в состязаниях с паркуром.

Когама снова зовет друзей. Вы присоединитесь к его миру в роли крылатой девушки, парня, животного или персонажа и поиграете в мини-игры с остальными игроками.

Прямоугольные человечки борются за выживание в холодном мире. Им помогает умение добывать ресурсы и создавать предметы.

Стив из Minecraft проходит курс выживания в двухмерном мире. Он добывает ресурсы, охотится на животных, строит дома и сражается с монстрами.

Гигантский парк развлечений открывается для посетителей. В нем вы покатаетесь на классных аттракционах и заведете новых друзей.

SL – безграничный виртуальный мир. Игровое сообщество само создает предметы, скины, анимации, города, места из аниме и игр. Игроки играют роли, знакомятся и общаются.

Соревнование среди шахтеров начинается. Игроки разбивают камень, делают пещеры и собирают кристаллы на время. Имена победителей появятся в доске в зале славы.

Персонаж оказался на первом этаже высокой башни. У него есть цель: забраться на самый верх. Объединитесь с другими игроками и постройте из блоков лестницу.

В этот раз Когама приготовил длинную полосу препятствий в небесном парке, построенном из блоков радуги. Покажите свои навыки паркура и доберитесь до финишной линии.

Когама открывает стройплощадку, где полно строительных инструментов. Объединитесь с друзьями и постройте крутой дом, замок или магазин.

В честь десятилетия Minecraft Mojang сделал версию для браузера. Она прилично урезана, но вы можете пригласить в игру друзей и что-нибудь построить вместе.

Когама попал на остров, где спрятаны сокровища. Путь к нему лежит через шаткий мост. Его охраняют привидения и остальные игроки. Готовьтесь к веселым приключениям!

Небесные острова встречают путешественников. Возьмите строительные инструменты и превратите эту землю в красивый парящий в небе город.

Пещерные люди из каменного века не умели добывать огонь, охотиться или строить. Становитесь предводителем и обучайте их разным технологиям.

Мир сошел с ума. Люди стали превращаться в кровожадных зомби. Вы играете одним из выживших и должны исследовать заброшенные дома в поисках еды и снаряжения.

Переработанная версия популярной игры про крафт предметов из Minecraft. Вы продолжите собирать ресурсы, драться с монстрами и осваивать новые миры.

Природа внезапно поглотила и захватила города. Вы играете уцелевшим в этой катастрофе человеком, который должен выжить в новом жестоком мире.

Пиксельный мир в духе Minecraft захвачен страшными зомби. Вы оказываетесь в лесу, где должны собирать ресурсы и отстреливаться от живых мертвецов.

Злобные зомби захватили кубический мир! Вы управляете выжившим, собираете ресурсы и строите дома с ловушками. Герой уязвим. Его нужно вовремя кормить, поить или лечить.

World Craft 2 — это новое приключение в мире, сделанном в стиле Minecraft. Персонаж умеет собирать ресурсы голыми руками, делать инструменты и строить из блоков.

Творческий режим открывает двери для творческих личностей. Стройте дома, структуры или испытайте навыки выживания в большом открытом мире.

Выживший после крушения шаттла исследователь выживает на незнакомой планете. Постройте ему дом, вооружите и помогите защититься.

Fortnite объединяет элементы геймплея Rust, Minecraft и Left 4 Dead: сбор ресурсов, поиск оружия, строительство и выживание в ночных боях с монстрами.

Screeps — проект для программистов. Создайте колонию с искусственным интеллектом на языке программирования JavaScript!

Выживайте на островах Арибо, раскройте тайны, собирайте ресурс Селебриум, развивайте технологии, сражайтесь и побеждайте!

Интересный ремейк Майнкрафта на флеш, который порадует пиксельной 2D-графикой, крафтом, сражениями и добычей ресурсов.

Огромный онлайн мир, предоставляющий безграничные возможности по заработку и выводу реальных денежных средств.

Life is Feudal: MMO — игра в жанре sandbox про средние века и сложность выживания в полном опасностей мире.

gaz.wiki — gaz.wiki

Navigation

• Main page

Languages

• Deutsch
• Français
• Nederlands
• Русский
• Italiano
• Español
• Polski
• Português
• Norsk
• Suomen kieli
• Magyar
• Čeština
• Türkçe
• Dansk
• Română
• Svenska

Новые HTML5-атрибуты элемента IFRAME — gadgetshelp,com

Элемент iframe встраивает другие веб-страницы непосредственно в текущую страницу. HTML5 вводит три новых атрибута этого элемента, чтобы помочь решить проблемы безопасности и удобства использования реализации

iframe HTML4 .

Атрибут «песочница»

Песочница атрибут IFrame элемента является полезной функцией безопасности для фреймов. Когда вы помещаете его в элемент iframe , пользовательский агент запрещает функции, которые могут представлять угрозу безопасности для сайта и его пользователей.

поручает браузеру запретить все функции, которые могут представлять угрозу безопасности, — таким образом, нет плагинов, форм, сценариев, исходящих ссылок, файлов cookie , локального хранилища и доступа к страницам на одном сайте.

Затем, используя значения ключевых слов песочницы , повторно включите некоторые функции. Эти ключевые слова:

• allow-формы : разрешить отправку формы.
• allow-same-origin : разрешить сценариям получать доступ к содержимому, подобному файлам cookie, из одного домена происхождения.
• allow-scripts : разрешить выполнение сценариев в этом IFRAME.
• allow-top-navigation : разрешить ссылки и скрипты iframe для цели _top

Не устанавливайте вместе ключевые слова allow-scripts и allow-same-origin в одном и том же фрейме . Если вы это сделаете, встроенная страница может затем удалить атрибут песочницы , сводя на нет его преимущества безопасности.

Атрибут ‘srcdoc’

Srcdoc атрибут дает веб — дизайнер больше контроля над фреймов, а также более высокий уровень безопасности. Вместо ссылки на веб-страницу с другим URL-адресом веб-дизайнер размещает HTML — код, который должен отображаться в iframe, в атрибуте srcdoc .

Поместив HTML-код, созданный ненадежным источником, таким как форма, в iframe, вы можете поместить в песочницу ненадежный контент и по-прежнему отображать его на странице. Комментарии блога являются примером. Большинство блогов предлагают ограниченное количество HTML-тегов, которые комментаторы могут использовать в своих комментариях. Но помещая эти комментарии в изолированную рамку iframe с использованием атрибута srcdoc , комментарии могут быть более надежными, при этом защищая сайт в целом.

Безопасность и фреймы

Два вышеупомянутых атрибута обеспечивают безопасность ваших элементов iframe , но они не являются защитой от всех вредоносных сайтов. Если вредоносный сайт может убедить посетителей вашего сайта получить прямой доступ к враждебному контенту (например, введя URL-адрес в браузере), они все равно могут подвергнуться атаке.

Если вы можете, установите содержимое в изолированном iframe как MIME-тип text / html-sandboxed .

«Бесшовный» атрибут

Бесшовная атрибут является логическим атрибутом , который указует браузер , чтобы отобразить IFRAME , как если бы она была частью родительского документа. Если вы хотите, чтобы ваш iframe отображался без проблем, просто включите этот атрибут в элемент:

Но создание бесшовного iframe — это не только внешний вид, но и взаимодействие страницы с фреймом. Несколько советов:

• Ссылки в iframe будут открываться в родительском окне, если на странице iframe не установлена ​​цель «_SELF».
• CSS в iframe будет добавлен в каскад всего документа.
• Корневой элемент страницы iframe считается дочерним элементом iframe .
• Ширина и высота iframe устанавливаются аналогично тому, как будут установлены другие элементы уровня блока .
• Когда родительский документ просматривается инструментом рендеринга, таким как программа чтения с экрана, iframe будет считан без объявления его в качестве отдельного документа.

Любые сценарии в родительском документе влияют на документ iframe таким же образом. Например, если в сценарии перечислены все фреймы на странице, ссылки в фрейме также будут перечислены.

Другими словами, атрибут seamless делает гораздо больше, чем просто удаляет границы из iframe . Если вы хотите, чтобы iframe был бесшовным, вы должны быть очень уверены в его содержании, чтобы не добавлять никакой угрозы безопасности для своего сайта, внедряя вредоносный сайт.

КАК: Понимание новых элементов IFRAME в HTML5

Элемент позволяет встраивать другие веб-страницы непосредственно в вашу веб-страницу. Но при использовании iframes существуют некоторые проблемы безопасности и дизайна, которые не были рассмотрены в HTML 4.01. HTML5 приносит три новых атрибута этому элементу, чтобы помочь решить эти проблемы:

Атрибут песочницы

песочница атрибут IFRAME элемент — очень полезная функция безопасности iframe. Когда вы поместите его в IFRAME элемент, вы поручаете пользовательскому агенту запретить функции, которые могут вызвать угрозу безопасности для сайта и его пользователей.

Например:

песочница = «» >

Сообщает обозревателю запретить все функции, которые могут представлять угрозу безопасности. В частности, плагины запрещены. Формы не могут быть отправлены. Сценарии не будут запускаться, а ссылки за пределами IFRAME не допускаются. Наконец, доступ к файлам cookie, локальному хранилищу и другим страницам в том же домене (происхождение) запрещен.

Затем, используя песочница значения ключевых слов, вы можете повторно включить некоторые функции. Эти ключевые слова:

• Allow-формы-Подтверждение формы
• позволяют-же-происхождения-Allow scripts для доступа к содержимому, например, файлы cookie из того же исходного домена
• Allow-скрипты-Allow скрипты для запуска в этом IFRAME
• позволяют-топ-навигации-Доказать IFRAME ссылки и скрипты на _Топ цель

Не рекомендуется устанавливать и Allow-скрипты а также позволяют-же-происхождения ключевые слова вместе на одном и том же IFRAME, Если вы это сделаете, встроенная страница сможет полностью удалить песочница атрибут, отрицающий любые преимущества безопасности.

Атрибут srcdoc

srcdoc атрибут — это атрибут, который дает Web-дизайнеру больше контроля над iframe, а также большую безопасность. Вместо того, чтобы ссылаться на веб-страницу с другим URL-адресом, веб-дизайнер помещает HTML-код, который должен отображаться в IFRAME внутри srcdoc приписывать.

Во-первых, вы можете подумать: «Как это отличается от размещения HTML прямо на странице?» И в некотором смысле это не так уж и плохо. Но вы должны иметь в виду одну из функций IFRAME элемент, который должен хранить ненадежные данные отдельно от остальной части сайта.

Поместив HTML, который создается ненадежным источником, таким как форма, в IFRAME вы можете «изолировать» недоверенный контент и по-прежнему отображать его на странице. Замечания блога — пример. В большинстве блогов есть только ограниченное количество тегов HTML, которые комментаторы могут использовать в своих комментариях. Но, разместив эти комментарии в песочнице IFRAME с использованием srcdoc атрибут, комментарии могут быть более надежными при сохранении сайта в целом.

Безопасность и IFRAME

Вышеуказанные два атрибута обеспечивают безопасность вашего IFRAME элементов, но они не являются доказательством против всех вредоносных сайтов. Если вредоносный сайт может убедить пользователя напрямую обращаться к враждебному контенту (например, набрав URL-адрес в своем браузере), они все равно могут быть атакованы.

Если возможно, лучше установить контент, который находится в изолированной IFRAME как текст / html-песочница MIME-тип.

Непрерывный атрибут

бесшовный атрибут — это логический атрибут, который указывает браузеру отображать IFRAME как если бы это было частью родительского документа. Если вы хотите IFRAME для отображения без проблем, просто включите этот атрибут в элемент:

бесшовный >

Но создание IFRAME бесшовные — это больше, чем просто внешний вид, а также то, как страница взаимодействует с фреймом. Например:

• Ссылки в IFRAME откроется в родительском окне, если только IFRAME страница имеет цель _self задавать.
• CSS в IFRAME будет добавлен в каскад всего документа.
• Корневой элемент IFRAME страница считается ребенком IFRAME.
• Ширина и высота IFRAME устанавливаются аналогично тому, как будут установлены другие элементы уровня блока.
• Когда родительский документ просматривается инструментом речевой реплики, таким как экранный ридер, IFRAME будет читаться без объявления его в виде отдельного документа.
• Любые скрипты на родительском документе повлияют на IFRAME документ таким же образом. Например, если скрипт перечислил все кадры на странице, ссылки в IFRAME также будут перечислены.

Другими словами, бесшовный атрибут намного больше, чем просто удалить границы из IFRAME, Если вы собираетесь установить IFRAME чтобы быть бесшовным, вы должны быть очень уверены в содержании, чтобы вы не добавляли никакой угрозы безопасности на свой сайт, внедряя вредоносный сайт.

От к — другие технологии внедрения — Изучение веб-разработки

К настоящему моменту вы уже должны уметь прикреплять вложения на свои веб-страницы, включая изображения, видео и аудио. На этом этапе мы хотели бы сделать шаг в сторону, рассматривая некоторые элементы, которые позволяют встраивать в ваши веб-страницы самые разнообразные типы контента: <iframe> (en-US), <embed> и <object> (en-US). <iframe> предназначен для встраивания других веб-страниц, а два других позволяют встраивать PDF-файлы, SVG и даже Flash — устаревшую технологию, которую вы всё равно иногда увидите.

Давным-давно в Интернете было популярно использовать фреймы для создания веб-сайтов — небольших частей веб-сайта, хранящихся на отдельных страницах HTML. Они были встроены в главный документ, называемый набором фреймов, который позволял вам указать область на экране, которую заполнял каждый фрейм, а не столбец и строку таблицы. Они были популярны в середине и конце 90-х годов и были доказательством того, что разделение веб-страницы на более мелкие куски лучше сказывается на скорости загрузки, особенно это заметно, когда сетевые соединения были медленными. Однако у них было много проблем, которые намного перевешивали любые положительные моменты, когда скорость сети становилась выше. Поэтому вы больше не увидите, чтобы их использовали.

Спустя некоторое время (конец 90-х, начало 2000-х годов) технологии плагинов, такие как Java-апплеты и Flash, стали очень популярными — это позволило веб-разработчикам встраивать богатый контент в веб-страницы, такие как видео и анимации, которые просто не были доступны только через HTML. Внедрение этих технологий осуществлялось посредством таких элементов, как <object> (en-US) и менее используемого <embed>, и они были очень полезны в то время. С тех пор они вышли из моды из-за многих проблем, включая доступность, безопасность, размер файла и многое другое; в наши дни большинство мобильных устройств больше не поддерживают такие плагины, и поддержка на компьютерах также уменьшается.

Наконец, появился элемент <iframe> (en-US) (наряду с другими способами встраивания контента, например <canvas>, <video> и т. д. ) Он позволяет встраивать целый веб-документ внутри другого, как если бы это был <img> или другой подобный элемент, и сегодня используется повсеместно.

Урок истории закончен, давайте двигаться дальше и посмотрим, как использовать некоторые из них.

В этой статье мы собираемся перейти прямо в раздел активного обучения, чтобы сразу дать вам реальное представление о том, для чего используются технологии внедрения. Нам очень хорошо знаком Youtube, но многие не знают о некоторых доступных для него средствах совместного доступа. Давайте посмотрим, как Youtube позволяет нам встраивать видео на любую страницу, которая нам нравится, используя <iframe> (en-US).

1. Сначала перейдите на Youtube и найдите понравившееся вам видео.
2. Под видео вы найдёте кнопку «Поделиться» — нажмите, чтобы отобразить параметры совместного доступа.
3. Выберите кнопку «Вставить», и вам будет предоставлен код <iframe> — скопируйте его.
4. Вставьте его в поле ввода ниже и посмотрите на результат в Output.

Дополнительно вы также можете попробовать внедрить карту Google следующим образом:

1. Перейдите в Карты Google и найдите подходящую вам карту.
2. Нажмите «Меню» (три горизонтальные линии) в верхнем левом углу пользовательского интерфейса.
3. Выберите параметр Ссылка/код.
4. Выберите параметр Встраивание карт, который даст вам код <iframe> — скопируйте его.
5. Вставьте его в поле ввода ниже и посмотрите на результат в Output.

Если вы допустили ошибку, вы всегда можете сбросить её с помощью кнопки «Сброс». Если вы действительно застряли, нажмите кнопку «Показать решение», чтобы увидеть ответ.

Итак, это было легко и весело, не так ли? Элементы <iframe> (en-US) предназначены для размещения других веб-документов в текущем документе. Это отлично подходит для включения стороннего контента на ваш сайт, который, возможно, не имеет прямого контроля и не хочет реализовывать вашу собственную версию — например, видео от поставщиков онлайн-видео, системы комментариев, такие как Disqus, карты от поставщиков онлайн-карт, рекламных баннеров и т. д. Живые редактируемые примеры, которые вы использовали в этом курсе, реализованы с помощью <iframe>.

Есть несколько серьёзных Проблем безопасности при использовании <iframe>, которые мы обсудим ниже, но это не значит, что вы не должны использовать их на своих сайтах — они просто требуют некоторых знаний и тщательного обдумывания. Давайте рассмотрим код немного подробнее. Скажем, вы хотите добавить глоссарий MDN на одну из своих веб-страниц. Вы можете попробовать что-то вроде этого:

<iframe src="https://developer.mozilla.org/en-US/docs/Glossary"
        frameborder="0"
        allowfullscreen sandbox>
  <p> <a href="https://developer.mozilla.org/en-US/docs/Glossary">
    Fallback link for browsers that don't support iframes
  </a> </p>
</iframe>

Этот пример включает основы, необходимые для использования <iframe>:

allowfullscreen (en-US)

Если установлено, <iframe> может быть помещён в полноэкранный режим с использованием полноэкранного API (что несколько выходит за рамки этой статьи).

frameborder (en-US)

Если установлено значение 1, это указывает браузеру нарисовать границу между этим фреймом и другими фреймами, что является поведением по умолчанию. 0 удаляет границу. Использование этого на самом деле не рекомендуется, так как тот же эффект можно улучшить, используя border: none; в CSS.

src (en-US)

Этот атрибут, как и <video> / <img>, содержит путь, указывающий на URL-адрес внедряемого документа.

width (en-US) and height (en-US)

Эти атрибуты определяют ширину и высоту, в которых вы хотите использовать iframe.

Резервный контент

Точно так же, как и другие подобные элементы, такие как <video>, вы можете включить резервный контент между тегами открытия и закрытия <iframe> </ iframe>, которые появятся, если браузер не поддерживает < IFRAME>. В этом случае мы включили ссылку на страницу. Вряд ли вы столкнётесь с таким браузером, который не поддерживает <iframe> в наше время.

sandbox (en-US)

Этот атрибут, который работает в более современных браузерах, чем остальные функции <iframe> (например, IE 10 и выше). Он запрашивает повышенные настройки безопасности. Об этом мы расскажем в следующем разделе.

Примечание: Чтобы повысить скорость загрузки, рекомендуется установить атрибут src в элементе iframe с помощью JavaScript после того, как основное содержимое будет загружено. Это ускорит вашу страницу и уменьшит время загрузки официальной страницы (важный показатель SEO.)

Проблемы безопасности

Выше мы упомянули о проблемах безопасности. Давайте рассмотрим это чуть подробнее. Мы не ожидаем, что вы всё поймёте с первого раза. Мы просто хотим сообщить вам о проблеме и предоставить ссылку, чтобы вы могли вернуться к ней, когда станете более опытными и начнёте рассматривать использование iframe в своих экспериментах и работе. Кроме того, нет необходимости бояться и не использовать <iframe> — вам просто нужно быть осторожным. Продолжим…

Разработчики браузеров и веб-разработчики на горьком опыте усвоили, что iframe — частая цель (официальный термин: вектор атаки) плохих людей в Интернете (часто называемых хакерами, или, более точно, крекерами) для атаки при попытке злонамеренно изменить ваши веб-страницы или обманом заставить посетителей делать то, чего они не хотят, например, раскрыть конфиденциальную информацию вроде имени пользователя и пароли. Чтобы избежать этого, авторы спецификаций и разработчики браузеров разработали различные механизмы безопасности для обеспечения защиты <iframe>, лучшие из которых мы рассмотрим ниже.

Clickjacking – это один из видов обычной атаки iframe, когда хакеры внедряют невидимый iframe в ваш документ (или внедряют ваш документ на свой собственный вредоносный веб-сайт) и используют его для захвата взаимодействия пользователей. Это обычный способ ввести пользователей в заблуждение или украсть конфиденциальные данные.

Быстрый пример — попробуйте загрузить предыдущий пример, который мы показали выше, в ваш браузер (вы можете найти его живой пример на Github (см. Также исходный код). На самом деле, вы ничего не увидите на странице, т.к. если вы посмотрите в консоль в инструментах разработчика браузера, вы увидите сообщение, объясняющее вам, почему. В Firefox вы получите сообщение «Отказано в доступе» в связи с X-Frame-Options: https://developer.mozilla.org/en-US/docs/Glossary не разрешает кадрирование. Это связано с тем, что разработчики, которые построили MDN, включили параметр на сервере, который обслуживает страницы веб-сайта, запрещая им внедряться внутри <iframe> (см. Настройка директивы CSP ниже). Суть здесь такова — целой странице MDN на самом деле нет смысла встраиваться в другие страницы — конечно, если вы не хотите сделать что-то вроде встраивания их на свой сайт и выставлять их как свои собственные; или пытаться украсть данные с помощью clickjacking, что очень плохо. Плюс, если все начнут это делать, вся дополнительная пропускная способность начнёт стоить Mozilla больших денег.

Используйте только при необходимости

Иногда имеет смысл вставлять сторонний контент — например, видео и карты, но вы избежите головной боли, если будете вставлять сторонний контент только тогда, когда это абсолютно необходимо. Хорошее эмпирическое правило для веб-безопасности: «Вы никогда не можете быть слишком осторожным. Если вы что-то сделали, дважды проверьте это. Если кто-то другой сделал это, считайте, что это опасно, пока не будет доказано обратное».

Помимо безопасности, вы также должны знать об интеллектуальной собственности. Большинство контента находится под защитой авторских прав, даже тот, от которого вы не могли ожидать (например, большинство картинок на Wikimedia Commons). Никогда не выводите контент на свою страницу, если он вам не принадлежит или если нет однозначного письменного разрешения от правообладателя. Наказания за нарушения авторских прав строги. И, повторимся, вы никогда не можете быть слишком осторожными.

Если контент лицензирован, вы должны соблюдать условия лицензии. Например, контент на MDN лицензирован на licensed under CC-BY-SA. Это означает, что вы должны относиться к нам с уважением, когда цитируете наш контент, даже если внесли в него существенные изменения.

Используйте HTTPS

HTTPS это зашифрованная версия HTTP. Вы должны обслуживать свои веб-сайты, используя HTTPS, всегда, когда это возможно :

1. HTTPS уменьшает вероятность того, что контент был изменён по пути;
2. HTTPS запрещает доступ внедрённого контента к контенту в вашем исходном документе и наоборот.

Использование HTTPS требует сертификат безопасности, что может обходиться в копеечку (хотя есть Let’s Encrypt, что облегчает задачу). Если вы не можете его получить, вы можете отдавать свой родительский документ с помощью HTTP. Однако, из-за второго преимущества HTTPS во что бы то ни стало вы не должны внедрять сторонний контент с HTTP. (В лучшем случае ваш браузер выдаст угрожающее предупреждение.) Все уважаемые компании, которые делают контент доступным для внедрения через <iframe>, доступны через HTTPS — посмотрите URL-адреса внутри <iframe> src при встраивании, например, содержимого из Карт Google или Youtube.

Примечание: Github pages позволяют предоставлять контент через HTTPS по умолчанию, поэтому это полезно для размещения контента. Если вы используете другой хостинг и не уверены, спросите хостинг-провайдера об этом.

Всегда используйте атрибут

sandbox

Вы хотите дать хакерам как можно меньше возможностей, чтобы делать плохие вещи на вашем веб-сайте, поэтому вы должны позволять копипастить встроенный контент только с разрешений, необходимых для выполнения этого действия. Конечно, это относится и к вашему собственному контенту. Контейнер для кода, в котором он может использоваться надлежащим образом или для тестирования, но не может нанести вред остальной части кодовой базы (случайной или злонамеренной), называется sandbox.

Контент, не ограниченный sandbox, может сделать слишком многое (выполнение JavaScript, отправка форм, всплывающие окна и т. д.). По умолчанию включайте все возможные ограничения, используя атрибут sandbox без параметров, как показано в предыдущем примере.

Если это необходимо, вы можете добавлять разрешения один за другим (внутри значения атрибута sandbox="") — смотри sandbox (en-US) ссылка для всех доступных опций. Важно отметить, что вы никогда не должны добавлять атрибуты allow-scripts и allow-same-origin в свой sandbox атрибут одновременно — в таком случае, встроенный контент может обходить политику безопасности, которая запрещает сайтам выполнять скрипты и использовать JavaScript для отключения «песочницы» sandbox .

Примечание. «Песочница» не обеспечивает защиту, если злоумышленники могут обманывать людей через прямое посещение вредоносного контента (вне iframe). Если есть вероятность, что определённый контент может быть вредоносным (например, созданный пользователями контент), пожалуйста, используйте его из другого domain на ваш основной сайт.

Настройка директив CSP

CSP означает политику безопасности контента и обеспечивает набор заголовков HTTP (метаданные, отправленные вместе с вашими веб-страницами, когда они обслуживаются с веб-сервера), предназначенных для улучшения безопасности вашего HTML-документа. Когда дело доходит до обеспечения безопасности <iframe>, вы можете настроить сервер для отправки соответствующего X-Frame-Options  заголовка. Это может помешать другим веб-сайтам встраивать ваш контент на их веб-страницы (что позволило бы использовать clickjacking и множество других атак), что и было сделано разработчиками MDN, как мы видели ранее..

Примечание: вы можете прочитать пост Фредерика Брауна On the X-Frame-Options Security Header для более детальной информации по теме. Разумеется, объяснение в этой статье далеко не полное.

Элементы <embed> и <object> (en-US)  служат другой функции, в отличие от iframe — эти элементы являются инструментами общего назначения для встраивания нескольких типов внешнего контента, включая плагиновые технологии, такие как Java Applets и Flash, PDF (которые могут отображаться в браузере с плагином PDF) и даже такой контент, как видео, SVG и изображения!

Примечание. Плагин — это программное обеспечение, обеспечивающее доступ к контенту, который браузер не может читать изначально.

Тем не менее, вы вряд ли будете использовать эти элементы очень часто. Апплеты не использовались годами, Flash в настоящее время не очень популярен из-за ряда причин (см. Случай с плагинами, ниже), PDF-файлы, как правило, лучше открывать по ссылке, а другой контент — такой, как изображения и видео, могут обрабатываться намного проще. Плагины и эти методы внедрения действительно являются устаревшими технологиями, и мы упоминаем их здесь на случай, если вы столкнётесь с ними в определённых обстоятельствах, таких как интрасети или корпоративные проекты.

Если вам нужно внедрить контент плагина, ниже исчерпывающая информация, которая вам понадобится:

	<embed>	<object> (en-US)
URL встраиваемого контента	src	data (en-US)
точный media type встраиваемого контента	type	type (en-US)
высота и ширина (в пикселях) элемента, управляемого плагином	height width	height (en-US) width (en-US)
имена и значения, предоставляемые плагину в качестве параметров	Особые атрибуты,с их именами и значениями	одиночные элементы <param> (en-US), находящиеся внутри <object>
независимый HTML-контент в качестве резерва для отсутствующего ресурса	не поддерживается (<noembed> является устаревшим)	содержится внутри <object>, после элементов <param>

Замечание: <object> -у необходим атрибут data , атрибут type , или оба сразу. Если вы используете их вместе, вы также можете использовать атрибут typemustmatch (en-US) (имеющийся в наличии только в Firefox, на момент написания данной статьи). Атрибут typemustmatch предотвращает запуск файла, только если в в атрибут type не записан соответствующий медиа-тип. Следовательно, атрибут typemustmatch может предоставлять значительные преимущества в безопасности в случае встраивания контента из других источников origin (Таким образом, не давая возможности злоумышленникам запускать произвольные скрипты посредством плагинов).

Ниже представлен пример использования элемента <embed> для вставки Flash-фильма (загляните на live on Github, а также на check the source code):

<embed src="whoosh.swf" quality="medium"
       bgcolor="#ffffff"
       name="whoosh" align="middle" allowScriptAccess="sameDomain"
       allowFullScreen="false" type="application/x-shockwave-flash"
       pluginspage="http://www.macromedia.com/go/getflashplayer">

Достаточно ужасно, не так ли? Html-код, генерируемый Flash, имел склонность быть значительно хуже. Он использовал элемент <object> вместе со встроенным элементом <embed> для скрытия всего фундамента (взгляните на пример). Flash ранее использовался в качестве резерва для HTML5-видео (в случае его отсутствия), но со временем необходимость в этом отпала.

Давайте взглянем на пример <object> , встраивающего PDF в страницу (взгляните live example и source code):

<object data="mypdf.pdf" type="application/pdf"
        typemustmatch>
  <p>You don't have a PDF plugin, but you can <a href="mypdf.pdf">download the PDF file.</a></p>
</object>

PDF-файлы были необходимым средством достижения цели в качестве преобразования бумажной информации в цифровую, но, в то же время, они имеют множество проблем доступности и плохо читаемы на мелких экранах. В некоторых кругах они всё ещё пользуются популярностью, так что заметим, что вместо встраивания в страницу следует использовать ссылки (для скачивания или чтения на отдельной вкладке).

Дело против плагинов

Когда-то плагины были незаменимы в Интернете. Помните дни, когда вам приходилось устанавливать Adobe Flash Player для просмотра онлайн-фильма? И потом постоянно возникали раздражающие предупреждения об обновлении Flash Player и Java Runtime Environment. С тех пор веб-технологии стали намного надёжнее. Почти всем сервисам пришло время прекратить доставлять контент с помощью плагинов и вместо этого использовать веб-технологии.

• Расширьте свою досягаемость для всех. У каждого есть браузер, но плагины используются все реже, особенно среди мобильных пользователей. Поскольку Web в значительной степени можно использовать без плагинов, люди предпочли бы просто перейти на сайты ваших конкурентов, чем установить плагин.
• Немного передохните от лишних головных болей, связанных с общедоступностью Flash-плагинов и др.( extra accessibility headaches ).
• Избегайте лишних проблем безопасности. Ни для кого не секрет,что Adobe Flash является небезопасным, даже после многочисленных патчей. В 2015, Алекс Стэймос (бывший главный сотрудник по вопросам информационной безопасности компании Facebook) даже делал запрос, чтобы Adobe прекратил поддержку Flash.

Итак, что нужно делать? Если вам нужна интерактивность, HTML и JavaScript могут легко выполнить задание для вас без необходимости использования апплетов Java или устаревшей технологии ActiveX / BHO. Вместо того, чтобы полагаться на Adobe Flash, вы можете использовать видео HTML5 для своих медиа-потребностей, SVG для векторной графики и Canvas для сложных изображений и анимаций. Питер Элст уже писал несколько лет назад, что Adobe Flash редко является подходящим инструментом для работы, за исключением специализированных игр и бизнес-приложений. Что касается ActiveX, браузер Microsoft Edge (en-US) больше не поддерживает его.

Тема встраивания другого контента в веб-документы поначалу может показаться очень сложной для понимания, поэтому в этой статье мы попытались представить её простым, знакомым способом, который сразу же станет актуальным, но всё же намекает на некоторые из более сложных функций вовлечённых технологий. Начнём с того, что вы вряд ли будете использовать большое количество встраивании стороннего контента, помимо встроенных карт и видео на своих страницах.

Существует много других технологий, которые включают в себя внедрение внешнего контента, помимо тех, которые мы обсуждали здесь. Мы видели некоторые из ранних статей, например <video>, <audio> и <img>, но есть и другие. Например, <canvas> для 2D-и 3D-графики, сгенерированной JavaScript, и <svg> для встраивания векторной графики. Мы рассмотрим SVG в следующей статье модуля.

Новые HTML5-атрибуты элемента IFRAME

Автор Глеб Захаров На чтение 4 мин. Опубликовано 03.07.2019

Элемент позволяет встраивать другие веб-страницы непосредственно в вашу веб-страницу. Но при использовании iframes есть некоторые проблемы безопасности и дизайна, которые не были рассмотрены в HTML 4.01. HTML5 привносит три новых атрибута в этот элемент, чтобы помочь решить эти проблемы:

Атрибут «песочница»

Атрибут «песочница» элемента «IFRAME» является очень полезной функцией защиты iframes. Когда вы помещаете его в элемент IFRAME, вы указываете пользовательскому агенту запретить функции, которые могут создать угрозу безопасности сайта и его пользователей.

Например:

Сообщает браузеру запретить все функции, которые могут представлять угрозу безопасности. В частности, плагины запрещены. Формы не могут быть отправлены. Скрипты не запускаются, а ссылки за пределами IFRAME не допускаются. Наконец, доступ к файлам cookie, локальному хранилищу и другим страницам в одном домене (источнике) запрещен.

Затем, используя значения ключевых слов «песочница», вы можете снова включить некоторые функции. Эти ключевые слова:

 allow-forms 

Разрешить отправку формы.

 allow-same-origin 

Разрешить сценариям доступ к содержимому, подобному файлам cookie, из одного домена происхождения.

 allow-scripts 

Разрешить выполнение сценариев в этом IFRAME.

 allow-top-navigation 

Разрешить ссылки и сценарии IFRAME для цели _top

Не рекомендуется устанавливать вместе ключевые слова “allow-scripts” и “allow-same-origin” в одном и том же IFRAME. Если вы сделаете это, встроенная страница сможет полностью удалить атрибут «песочница», сводя на нет все преимущества безопасности.

Атрибут “srcdoc”

Атрибут “srcdoc” – это атрибут, который дает веб-дизайнеру больший контроль над фреймами, а также большую безопасность. Вместо ссылки на веб-страницу с другим URL-адресом веб-дизайнер размещает HTML-код, который должен отображаться в IFRAME, в атрибуте «srcdoc».

Сначала вы можете подумать: «Чем это отличается от размещения HTML-кода прямо на странице?» И в некоторых отношениях он не сильно отличается. Но вы должны иметь в виду одну из функций элемента IFRAME, которая заключается в отделении ненадежных данных от остальной части сайта.

Поместив HTML-код, созданный ненадежным источником, таким как форма, в IFRAME, вы можете «поместить в песочницу» ненадежный контент и по-прежнему отображать его на странице. Комментарии блога являются примером. Большинство блогов имеют ограниченное количество HTML-тегов, которые комментаторы могут использовать в своих комментариях. Но, поместив эти комментарии в изолированную рамку IFRAME с использованием атрибута «srcdoc», комментарии могут быть более надежными, при этом сохраняя защиту сайта в целом.

Безопасность и фреймы

Два вышеупомянутых атрибута обеспечивают безопасность ваших элементов IFRAME, но они не защищают от всех вредоносных сайтов. Если вредоносный сайт может убедить пользователя в доступе к враждебному контенту напрямую (например, введя URL-адрес в браузере), он все равно может подвергнуться атаке.

Если возможно, лучше установить содержимое MIME типа «текст/html-песочница» в изолированной рамке IFRAME.

Атрибут «бесшовные»

Атрибут «seamless» является логическим атрибутом, который указывает браузеру отображать IFRAME, как если бы он был частью родительского документа. Если вы хотите, чтобы ваш IFRAME отображался без проблем, просто включите этот атрибут в элемент:

Но создание бесшовного IFRAME – это не только внешний вид, но и взаимодействие страницы с фреймом. Например:

Ссылки в IFRAME будут открываться в родительском окне, если на странице IFRAME не установлена ​​цель “_SELF”.

CSS в IFRAME будет добавлен в каскад всего документа.

Корневой элемент страницы IFRAME считается дочерним элементом IFRAME.

Ширина и высота IFRAME устанавливаются аналогично тому, как будут установлены другие элементы уровня блока.

Когда родительский документ просматривается инструментом рендеринга, таким как программа чтения с экрана, IFRAME будет считываться без объявления его в качестве отдельного документа.

Любые сценарии в родительском документе будут влиять на документ IFRAME таким же образом. Например, если сценарий перечисляет все фреймы на странице, ссылки в IFRAME также будут перечислены.

Другими словами, атрибут «seamless» делает намного больше, чем просто удаляет границы из IFRAME. Если вы собираетесь установить IFRAME как единое целое, вы должны быть очень уверены в его содержании, чтобы не добавлять никакой угрозы безопасности для своего сайта, внедряя вредоносный сайт.

HTML атрибут песочницы iframe

❮ HTML тег

Попробуй сам »

Дополнительные примеры «Попробуйте сами» ниже.

---

Определение и использование

Атрибут песочницы включает дополнительный набор ограничения для содержимого в iframe.

Если присутствует атрибут песочницы , и он будет:

• рассматривать контент как уникальный
• Подача блочной формы
• Выполнение блочного скрипта
• отключить API
• запретить нацеливание ссылок на другие контексты просмотра
• запретить контенту использовать плагины (через ,