IFRAME的各种经验总结 iframe弊端

在一个页面中如果想嵌套子页面，应该能想到iframe,的确它之前的应用非常广泛，它可以实现无缝刷新，模拟onhashchange跨域，安全的加载第三方资源与广告，实现富文本编辑，文件上传，用它搞定IE6-IE7的select BUG（select标签会移到遮罩层的上面来，可以使用iframe遮住）。不过后来因为一些iframe本身的缺陷，出于安全性的考虑，如今渐渐的淡出的大家的视角。

经验技巧与破坑

IE下设置iframe的透明

1. iframe自身设置allowTransparency属性为true.（但设置了allowTransparency=true,就遮不住select了）
2. iframe中的文档（src指向的页面），background-color或body元素的bgColor属性必须设置为transparent。

获取window对象

• 在iframe内获取window对象只能获取到当前iframe内的对象，获取父页面的方法只需在方法前面加上parent,
• 必须parent.window就找到的是父元素的window对象，父页面控制子页面只用document.frames(iframe的name)ducument.frames('myiframe').document.getElementsByTagName('body')[0].就能找到iframe的body元素，然后如何判断是否在iframe内部还是外部，可以根据window.frames.length和parent.frames.length来进行判断

获取IFRAME

在主页面直接，frames[iframeName]，iframes是主页面中的一个对象，它的属性iframeName可以获得此名字的iframe的window对象。

获取iframe中的文档对象

var node = document.getElementById("iframeID")
var doc = node.contentDocument || node.contentWindow.document

前面是w3c，后面的写法是IE.

判定iframe是否加载完成

if(iframe.addEventListener){
　　iframe.addEventListener("load",callback,false)
}
else{
　　iframe.attachEvent("onload",callback);
}

清空iframe，同时不保留历史的写法

iframeWindow.location.replace("about:blank")

此replace方法不是字符串的replace方法，这个replace方法是location专有的方法，意思是替换window的链接地址，而且被替换的链接地址不存入历史记录中。

history api

iframe和父窗口共享history

微信中的iframe

页面加载iframe内部的图片和文字都是不可被复制的，iframe是受微信的安全限制。防止挂马入侵，因此阻止了很多事件的默认行为

利用iframe跨域

• 利用iframe和location.hash
• 利用iframe和window.name

防止被IFRAME

响应头法

在响应头里加一个X-Frame-Options，取值有三种，大部分浏览器都支持。这样被不同源的页面以iframe包含时就不会显示了。

X-Frame-Options:DENY // 浏览器拒绝当前页面加载任何Frame页面
X-Frame-Options:SAMEORIGIN // frame页面的地址只能为同源域名下的页面
X-Frame-Options:ALLOW-FROM origin// origin为允许frame加载的页面地址

脚本法

if (window != window.top) {
    window.top.location.replace(window.location)
    // 这是直接代替外窗，你也可以干别的
}

或者用下面这种

if (top != self) {
    top.location = self.location;
}