iFrames sú už dlho súčasťou štandardu HTML. V HTML 4.0 boli však spolu so teraz zastaralými rámami zabaleny do variantu Frameset-HTML. Rámy v HTML5 už nie sú zohľadnené, no vložené rámiky (iFrames) áno.
Pomocou iFrames je možné vložiť iné webové stránky. Prehliadač teda vykresľuje ďalší HTML súbor v rámci aktuálnej webovej stránky. Obsah okna iFrame je možné individuálne formátovať.
Keď hovoríme o iFrames, je samozrejme potrebné venovať osobitnú pozornosť aj bezpečnosti tejto HTML techniky. Problémom je tu škodlivý kód, ktorý môže byť nezaznamenaným spôsobom vkladaný do webových stránok cez iFrames. To je samozrejme obrovským problémom.
V HTML5 však existujú primerané bezpečnostné mechanizmy, ktoré umožňujú obísť tieto problémy. Viac sa o nich dozviete v ďalšom priebehu tohto tutorialu. Pred použitím iFrames je však stále dôležité mať na pamäti, že môžu predstavovať potenciálnu hrozbu, najmä aj preto, že nové bezpečnostné atribúty zďaleka nie sú podporované vo všetkých prehliadačoch.
V HTML5 teda iFrames patria medzi pevný štandard a prinášajú niekoľko ďalších atribútov. Nasledujúci príklad ukazuje, ako je možné definovať iFrames.
Prvok iframe je priradený atribútu src. Tento src obsahuje hodnotu stránky, ktorá sa má zobraziť. Môže to byť aj lokálny súbor. Možné je však aj – ako je to ukázané v príklade – načítanie externého zdroja.
Šírka a výška iFramov sú určené pomocou atribútov width a height. Ak je vložený obsah väčší ako zadaná veľkosť iFramu, zobrazia sa posuvníky.
Medzi otváracím a zatváracím tagom <iframe> je možné definovať akýkoľvek obsah. Tento je však viditeľný iba v prehliadačoch, ktoré nepoznajú prvok iframe.
V HTML5 sú pre iFrames zavedené niektoré nové atribúty, ktoré sú predovšetkým spojené s tzv. správaním sa kódu v rámci zabezpečenia (Sandbox).
V prehliadačoch zabezpečuje politika Same Origin, že vložená webová stránka počas zobrazovania nemôže byť manipulovaná. Táto bezpečnostná funkcia má svoj význam. Napriek tomu nie je vždy ideálna. Preto bol v HTML5 zavedený atribút sandbox, cez ktorý je možné explicitne informovať prehliadače, aké povolenia majú byť priradené obsahu vloženému z externého zdroja v iFrame.
iFrames, ktoré sú vybavené atribútom sandbox, nemajú prístup k DOM vloženej webovej stránke. Okrem toho nesmú vykonávať skripty a ukladať cookies. Tieto obmedzenia je možné zrušiť rôznymi hodnotami v Sandbox.
Atribútu sandbox možno priradiť rôzne hodnoty. Pomocou allow-forms môže vložená webová stránka získavať informácie od používateľa cez formuláre. Používatelia nevedia, že formulár nie je z aktuálnej stránky.
Ak sa však použije allow-some-origin, vložená webová stránka sa bude správať tak, ako keby pochádzala z rovnakého hostiteľa. Týmto spôsobom je politika Same Origin zrušená.
Hodnota allow-top-navigation umožňuje vloženému obsahu meniť obsah najvyššieho prehliadačového kontextu.
A existuje aj allow-script. Tým sa umožní obsahu vkladanej webovej stránky obsahovať JavaScript, ktorý môže manipulovať stránku, do ktorej je vložený.
Ukážka toho, ako by mohla vyzerať príslušná inštrukcia k sandbox:
Tento atribút má svoje vlastnosti. Odkazy v zahrnutom dokumente sa nezobrazia v novom okne prehliadača, pokiaľ nie je definované inak – v ktorom bolo definované iframe. (Pri bežnom vložení sa odkazy zobrazenia v iFrame okne).
Seamless momentálne podporuje iba Google Canary, teda vývojová verzia tohto prehliadača.
Ďalším efektom sú štýly. Štýly zahrnutej súboru sa aplikujú aj na zahrnutý dokument. (Pri bežnom vložení sa štýly neuplatňujú).
Pridaný bol aj nový atribút. S srcdoc je možné priamo definovať obsah na vloženie. Pozrite si nasledujúci príklad:
V tomto prípade chýba atribút src, cez ktorý sa zvyčajne udáva súbor, ktorý sa má zahrnúť.
Obsah uvedený pomocou srcdoc je spracovaný ako keby pochádzal z cudzieho servera. Preto podlieha plne Same Origin Policy. Toto správanie je zaujímavé napríklad v súvislosti so skriptovými definíciami. Do nich je povolený akýkoľvek HTML a JavaScript kód. Avšak treba zdôrazniť, že úvodzovky a symbol „&“ musia byť nahradené týmito znakmi " a &.
Môžete tu priamo definovať stránku a týmto spôsobom získať požadovaný obsah.
Je to teda úplne bežná HTML syntax, bez skriptov atď.
Ešte niekoľko poznámok k atribútom, ktoré sa doteraz používali na vizuálne formátovanie: Veci ako scrolling, marginwidth a marginheight nie sú v HTLM5 viac povolené. Tieto atribúty sú nahradené pomocou CSS.
