用IFRAME实现网页的内嵌和预载

用iframe实现网页的内嵌和预载

--------------------------------------------------------------------------------
 
http://www.sina.com.cn 2001/09/04 14:37 中国电脑教育报 刘明锋
 
　　在htm(html)文件中是否可以像php、asp文件一样嵌入其他文件呢？下面笔者介绍用iframe来实现的方法。

　　iframe元素的功能是在一个文档里内嵌一个文档，创建一个浮动的帧。其部分属性简介如下：

　　name：内嵌帧名称

　　width：内嵌帧宽度(可用像素值或百分比)

　　height：内嵌帧高度(可用像素值或百分比)

　　frameborder：内嵌帧边框

　　marginwidth：帧内文本的左右页边距

　　marginheight：帧内文本的上下页边距

　　scrolling：是否出现滚动条(“auto”为自动，“yes”为显示，“no”为不显示)

　　src：内嵌入文件的地址

　　style：内嵌文档的样式(如设置文档背景等)

　　allowtransparency：是否允许透明

　　明白了以上属性后，我们可用以下代码实现，在main.htm中把samper.htm文件的内容显示在一个高度为80、宽度为100%、自动显示边框的内嵌帧中：

　　〈iframe name="import_frame" width=100%

　　　height=80 src="samper.htm" frameborder=auto〉

　　〈/iframe〉

　　不错吧，马上“ctrl+c”、“ctrl+v”试试。

　　有时我们为强调页面的某项内容，想让它先于页面的其他内容显示。同样用iframe即可轻松实现：

　　先把要强调显示的内容另存为一个文件，如first.htm，然后通过一个预载页index.htm，内容如下：

　　〈meta http-equiv="refresh" content="3,url=index2.htm"〉

　　〈body〉

　　页面加载中，请稍候……〈iframe src="first.htm" style="display:none"〉〈/iframe〉

　　〈/body〉

　　主文件index2.htm

　　〈body〉

　　〈iframe src="first.htm"加入其他属性限制〉〈/iframe〉

　　〈/body〉

　　first.htm的内容就会先于页面的其他内容出现在您的浏览器里了，是不是很简单？再“ctrl+c”、“ctrl+v”一次？

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
另外俺给作者补充一句：这个iframe和一般的frame一样都是可以作为form提交的target的。

另外，再补充一点关于iframe的东东，也是通过google和上篇文章一起查到的，希望不要吓倒大家
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

 

ie iframe缓冲溢出漏洞   
  来源：cncert/cc      2004-11-09   
 
  
安全漏洞cn-va04-111
发布日期：2004-11-09
漏洞类型：远程系统访问
漏洞评估：高危

受影响版本：

　　internet explorer 6.0 on windows xp sp1 (完全修补)
　　internet explorer 6.0 on windows 2000 (完全修补)

漏洞描述：

　　ie中发现的这个新漏洞是由在处理<iframe>html标记的某些属性时的边界错误引起。具体地讲，一个叫做shdocvw.dll的负责翻译iframe、frame和embed标记的通用windows dll文件受到缓冲溢出攻击的影响。恶意人员通过构造一个恶意的html文件，在其<iframe>标记中的“src”和“name”参数包含超长字符串，就可以引发缓冲区溢出攻击。成功利用该漏洞可以执行任意代码。当用户浏览html网页或查看html格式的邮件时，如果其中包含恶意构造的html标记，有可能系统会被恶意人员远程接管。

　　另外，使用webbrowser active x控件的其它程序也会受到该漏洞的影响，如outlook、outlook express和lotus notes等。

　　该漏洞非常严重，在网上已发现该漏洞的利用代码。在实验室测试，利用代码可以进一步成为传播性更强的蠕虫。

解决方案：

　　windows xp sp 2不受该漏洞的影响。

　　在微软提供全面解决方案之前，请先参考以下意见：

　　1.关闭活动脚本和activex控件：

　　打开ie安全性设置，分别在internet区和本地区关闭活动脚本和activex控件将可以阻止该漏洞被利用。有关如何在internet区关闭活动脚本可在微软网站的“恶意网页脚本faq”中查阅，有关保护本地区的信息可参考微软知识库833633号文。windows xp （目前在 rc1）sp2中包括对ie相关问题的安全升级。　　http://www.microsoft.com/technet/.../winxpsp2.mspx

　　2.不要点击访问主动提供的链接，不要点击邮件、即时消息、网络论坛或者网络中继聊天频道（irc）中提供的任何不明链接。

　　3.保持更新的反病毒软件能够辨别和防御一些攻击，但是也不能完全依赖于此。

　　4.使用别的浏览器

参考信息：

　　http://www.finjan.com/securitylab/.../alert_show.asp?attack_release_id=114

　　http://www.cert.org.cn/articles/...2004070521800.shtml

信息提供者：

　　启明星辰积极防御实验室

其它信息：

　　cve编号：
　　首次发布日期：2004-11-09
　　修订次数：0

漏洞报告文档编写：

　　cncert/cc