六、iframe

1、什么是iframe

我们经常可以在一些网站上看到广告，网站引入广告是很正常的事。而将广告放在网页上的做法就是使用 iframe 引入广告地址就可以了，所以说这个标签并不是所谓的看起来不起眼，而是我们对它的了解不够，一旦了解了，会发现很多地方都有它的身影。

那么，使用 iframe 来进行设置广告有什么好处呢？通过查阅资料得知，用它来加入广告可以减少网页布局的紊乱，也可以增加网页的安全性。

聊了这么多理论知识，我们来应用一下这个标签吧，下面是我用 iframe 写的一个 demo，我在 iframe 标签里放入掘金的网址，便可以在网页中嵌入掘金网页。

<!DOCTYPE html>
<html lang="en">
<head>
  <meta charset="UTF-8">
  <meta http-equiv="X-UA-Compatible" content="IE=edge">
  <meta name="viewport" content="width=device-width, initial-scale=1.0">
  <title>Document</title>
</head>
<body>
  <iframe src='https://www.juejin.cn' width="100%" height="300px"></iframe>
</body>
</html>

效果如下：

但是，我们也会发现有些网址会无法访问，比如baidu.com，效果如下：

<iframe src='https://www.baidu.com' width="100%" height="300px"></iframe>

这是为什么呢？我首先想到的是产生了跨域，然后查看后台我们可以看到如下错误：

这个错误也印证了我的猜想。对于 iframe 产生的跨越。

2、iframe的优缺点

优点：

• 可以减少数据的传输，减少网页的加载时间
• 使用起来很方便
• 方便开发，减少代码的重复率

缺点：

• 部分使用会产生跨域（如上所示）
• 会产生很多的页面，不易于管理
• 浏览器的后退按钮无效

常用属性：

• height:框架作为一个普通元素的高度
• width:框架作为一个普通元素的宽度
• name:框架的名称
• scrolling:框架是否滚动
• src：框架的地址，可以使用页面地址，也可以是图片的地址。
• frameborder:是否显示边框

3、iframe使用postMessage通信解决跨域

注意：postMessage是window上自带的方法

window.postMessage() 方法可以安全地实现跨源通信。通常，对于两个不同页面的脚本，只有当执行它们的页面位于具有相同的协议（通常为 https），端口号（443 为 https 的默认值），以及主机 (两个页面的模数 Document.domain设置为相同的值) 时，这两个脚本才能相互通信。window.postMessage() 方法提供了一种受控机制来规避此限制，只要正确的使用，这种方法就很安全。

从广义上讲，一个窗口可以获得对另一个窗口的引用（比如 targetWindow = window.opener），然后在窗口上调用 targetWindow.postMessage() 方法分发一个 MessageEvent 消息。接收消息的窗口可以根据需要自由处理此事件(en-US)。传递给 window.postMessage() 的参数（比如 message）将通过消息事件对象暴露给接收消息的窗口。

语法：

otherWindow.postMessage(message, targetOrigin, [transfer]);

otherWindow

其他窗口的一个引用，比如 iframe 的 contentWindow 属性、执行window.open返回的窗口对象、或者是命名过或数值索引的window.frames。

message

将要发送到其他 window 的数据。它将会被结构化克隆算法序列化。这意味着你可以不受什么限制的将数据对象安全的传送给目标窗口而无需自己序列化。

targetOrigin

通过窗口的 origin 属性来指定哪些窗口能接收到消息事件，其值可以是字符串”*”（表示无限制）或者一个 URI。在发送消息的时候，如果目标窗口的协议、主机地址或端口这三者的任意一项不匹配 targetOrigin 提供的值，那么消息就不会被发送；只有三者完全匹配，消息才会被发送。这个机制用来控制消息可以发送到哪些窗口；例如，当用 postMessage 传送密码时，这个参数就显得尤为重要，必须保证它的值与这条包含密码的信息的预期接受者的 origin 属性完全一致，来防止密码被恶意的第三方截获。如果你明确的知道消息应该发送到哪个窗口，那么请始终提供一个有确切值的 targetOrigin，而不是 *。不提供确切的目标将导致数据泄露到任何对数据感兴趣的恶意站点。

transfer 可选

是一串和 message 同时传递的 Transferable 对象。这些对象的所有权将被转移给消息的接收方，而发送一方将不再保有所有权。

其他 window 可以监听分发的 message:

window.addEventListener("message", receiveMessage, false);

function receiveMessage(event) {
  // For Chrome, the origin property is in the event.originalEvent
  // object.
  // 这里不准确，chrome 没有这个属性
  // var origin = event.origin || event.originalEvent.origin;
  var origin = event.origin;
  if (origin !== "http://example.org:8080") return;

  // ...
}

message 的属性有：

data: 从其他 window 中传递过来的对象。

origin: 调用 postMessage 时消息发送方窗口的 origin . 这个字符串由 协议、“://“、域名、“ : 端口号”拼接而成。例如“https://example.org (隐含端口 443)”、“http://example.net (隐含端口 80)”、“http://example.com:8080”。请注意，这个 origin 不能保证是该窗口的当前或未来 origin，因为 postMessage 被调用后可能被导航到不同的位置。

source: 对发送消息的窗口对象的引用; 你可以使用此来在具有不同 origin 的两个窗口之间建立双向通信。

4、安全问题

如果你不希望从其他网站接收 message，请不要为 message 事件添加任何事件侦听器。 这是一个完全万无一失的方式来避免安全问题。

如果你确实希望从其他网站接收 message，请始终使用 origin 和 source 属性验证发件人的身份。任何窗口（包括例如 http://evil.example.com）都可以向任何其他窗口发送消息，并且你不能保证未知发件人不会发送恶意消息。但是，验证身份后，你仍然应该始终验证接收到的消息的语法。否则，你信任只发送受信任邮件的网站中的安全漏洞可能会在你的网站中打开跨网站脚本漏洞。

当你使用 postMessage 将数据发送到其他窗口时，始终指定精确的目标 origin，而不是 *。 恶意网站可以在你不知情的情况下更改窗口的位置，因此它可以拦截使用 postMessage 发送的数据。

示例：

/*
 * A 窗口的域名是<http://example.com:8080>，以下是 A 窗口的 script 标签下的代码：
 */

var popup = window.open(...popup details...);

// 如果弹出框没有被阻止且加载完成

// 这行语句没有发送信息出去，即使假设当前页面没有改变 location（因为 targetOrigin 设置不对）
popup.postMessage("The user is 'bob' and the password is 'secret'",
                  "https://secure.example.net");

// 假设当前页面没有改变 location，这条语句会成功添加 message 到发送队列中去（targetOrigin 设置对了）
popup.postMessage("hello there!", "http://example.com");

function receiveMessage(event){
  // 我们能相信信息的发送者吗？(也许这个发送者和我们最初打开的不是同一个页面).
  if (event.origin !== "http://example.com")
    return;

  // event.source 是我们通过 window.open 打开的弹出页面 popup
  // event.data 是 popup 发送给当前页面的消息 "hi there yourself!  the secret response is: rheeeeet!"
}
window.addEventListener("message", receiveMessage, false);

/*
 * 弹出页 popup 域名是 http://example.com，以下是 script 标签中的代码：
 */

//当 A 页面 postMessage 被调用后，这个 function 被 addEventListener 调用
function receiveMessage(event) {
  // 我们能信任信息来源吗？
  if (event.origin !== "http://example.com:8080") return;

  // event.source 就当前弹出页的来源页面
  // event.data 是 "hello there!"

  // 假设你已经验证了所受到信息的 origin (任何时候你都应该这样做), 一个很方便的方式就是把 event.source
  // 作为回信的对象，并且把 event.origin 作为 targetOrigin
  event.source.postMessage(
    "hi there yourself!  the secret response " + "is: rheeeeet!",
    event.origin,
  );
}

window.addEventListener("message", receiveMessage, false);

5、iframe使用postMessage的一个例子

父页面-vue2（端口号为127.0.0.1:8080）

<template>
  <div>
    <div class="container">
      <iframe
        ref="iframeId"
        id="iframeId"
        src="http://127.0.0.1:8081"
        frameborder="0"
        border="0"
        hspace="0"
        vspace="0"
        scrolling="yes"
        height="100%"
        width="100%"
      ></iframe>
    </div>
  </div>
</template>
<script lang="ts">
import { Vue, Component } from 'vue-property-decorator';

@Component({
  components: {},
})
export default class FeatureService extends Vue {
  // 定义一个方法，用于发送消息到iframe
  private postMessageToIframe() {
    // 设置延时，确保iframe已经加载完成
    setTimeout(() => {
      // 定义要发送的数据
      const iframeInfo = { isIframeParent: true };
      // 定义目标源
      const targetOrigin = 'http://127.0.0.1:8081';
      // 获取iframe引用
      const iframe = this.$refs.iframeId;
      // 向iframe发送消息
      iframe.contentWindow.postMessage(
        JSON.stringify(iframeInfo),
        targetOrigin
      );
    }, 500);
  }

  private mounted() {
    // 在组件挂载后，发送消息到iframe
    this.postMessageToIframe();
    // 
    window.addEventListener('message', this.handleMessage, false);
  }

  private handleMessage(event: MessageEvent) {
    // 通过origin对消息进行过滤，避免遭到XSS攻击
    if (event.origin === 'http://127.0.0.1:8081') {
      console.log('子页面传输过来参数', event.data);
    }
  }
}
</script>
<style lang="less" scoped>
.container {
  width: 100%;
  margin-top: -40px;
  height: 100vh;
  overflow: hidden;
  #iframeId {
    width: 100%;
    display: block;
  }
}
</style>

子页面-vue3， (端口号为127.0.0.1:8081)

<template>
  <div>
    <!-- 顶部导航 -->
    <TopMenu v-if="!iframeParentInfo.isIframeParent" />
    <div class="demo-sidebar-container demo-full-width">
      <!-- 侧边栏 -->
      <SiderBar v-if="!iframeParentInfo.isIframeParent" />
      <!-- 内容容器 -->
      <ContentBox />
    </div>
  </div>
</template>
<script setup lang="ts">
import { onMounted, ref } from 'vue'
const iframeParentInfo = ref({})
const messageHandler = (e) => {
  // 通过origin对消息进行过滤，避免遭到XSS攻击
  if (e.origin !== 'http://127.0.0.1:8080') return
  if (typeof e.data === 'string') {
    parseData(e.data)
  }
}

const parseData = (data) => {
  try {
    iframeParentInfo.value = JSON.parse(data)
    console.log('父页面传输过来参数', data)
  } catch (error) {
    console.error('解析JSON出错', error)
    iframeParentInfo.value = {}
  }
}

onMounted(() => {
  // 获取 父向 子(iframe) 传递的信息
  window.addEventListener('message', messageHandler)
  // 子(iframe)向父传递信息
  window.parent.postMessage('Hello Parent!', '*')
})
</script>

终端打印如下：

最后写一个我之前看到的，关于组件挂载完之后触发postMessage方法还有一个很好的写法如下

利用vue组件的load事件

<template>
  <div class="teach-exams">
    <iframe id="baize" name="baize" v-bind:src="baizeUrl" frameborder="0" :key="baizeUrl" @load="postMsg"></iframe>
  </div>
</template>

public async postMsg () {
    // 没有地址时不加载
    if (!this.baizeUrl || this.isNewVersion) return
    const access_token = await this.getToken(this.shareToken)
    const iframeEl = (document.getElementById('baize') as HTMLIFrameElement)?.contentWindow;
    const msg = {
      access_token,
      watermark_text: ''
    }
    if (!iframeEl) throw new Error('no iframe')
    iframeEl.postMessage(JSON.stringify(msg), this.baizeUrl);
  }