前言
在跨域請求不同服務(wù)方或是兼容先前系統(tǒng)的頁面時 ， 你可能想利用AJAX從網(wǎng)頁上下載HTML并粘貼到div中，這將帶來不安全注入的問題 。
此時，通過iframe頁面嵌入可以很好地解決上述問題 。
本文帶您了解iframe內(nèi)聯(lián)框架，幫助您提高頁面集成效率和復(fù)用率，一次開發(fā) ， 多次使用 。同時 ， 解決在使用iframe跨域訪問時，第三方cookie暫存轉(zhuǎn)發(fā)問題 。

文章插圖
【vue中嵌入網(wǎng)頁的注意事項 vue中使用iframe嵌入頁面】iframe安全嵌入方案
iframe嵌入是一種快速的表示集成方法，具有以下三方面優(yōu)點：
1.iframe是一個全新的獨立的宿主環(huán)境，用于隔離或者訪問原始接口及對象，并能夠原封不動地將嵌入的網(wǎng)頁展現(xiàn)出來；
2.如果有多個網(wǎng)頁引用iframe，只需要修改iframe的內(nèi)容，就可以實現(xiàn)調(diào)用的每一個頁面內(nèi)容的更改，方便快捷；
3.重載頁面時不需要重載整個頁面，只需要重載頁面中的一個框架頁 。
例如，以vue工程為例，我們可以很輕松地嵌入iframe頁面，輕松實現(xiàn)頁面集成 。
<template>
<div style=”padding-top:10px;height:auto”>
<iframe id=’mainFrame’ name=’mainFrame’ ref=’mainFrame’ :src=http://www.wokk.cn/”iframeUrl” target=”_blank” height=’1000px’ frameborder=”0″ width=”100%” >
</div>
</template>
<script>
export default {
name: ‘MyTestResource’,
data() {
return{
iframeUrl: “”,
}
},
created(){
this.iframeUrl = http://40. + “xxx-ev/ev/xxx/RedirectITA?toUrl=zycx&resouceCode=BBB&token=” + getLocalStorageToken()
},
在嵌入第三方服務(wù)頁面時，需要處理統(tǒng)一身份認證和保持登錄狀態(tài)的問題 ， 下圖所示為iframe安全注入方案示例 。

文章插圖
iframe安全注入服務(wù)流程為，用戶在本方服務(wù)頁面進行登錄，本方服務(wù)向統(tǒng)一身份認證平臺驗證用戶服務(wù)權(quán)限并得到本方服務(wù)令牌 。
當(dāng)用戶訪問嵌入第三方服務(wù)的iframe頁面時，本方服務(wù)向統(tǒng)一身份認證平臺驗證用戶服務(wù)權(quán)限并得到第三方服務(wù)令牌，通過URL傳送給第三方服務(wù)，第三方服務(wù)解析后向統(tǒng)一身份認證平臺驗證該用戶權(quán)限令牌信息，若用戶權(quán)限令牌信息正確則提供服務(wù) 。
其中第三方服務(wù)對iframe 嵌入可以通過如下配置方式實現(xiàn) 。
IE瀏覽器配置
為了控制iframe嵌入的權(quán)限，需要在Headers里面加入X-Frame-Options字段 ， 其有三種值可以配置，具體如下表格所示 。

文章插圖
Chrome、Edge瀏覽器配置
經(jīng)過測試發(fā)現(xiàn)X-Frame-Options 對Chrome及Edge瀏覽器不起作用 ， 需要配置Content-Security-Policy: frame-ancestors 對iframe 頁面嵌入進行安全控制 。

文章插圖
X-Frame-Options及 Content-Security-Policy 可以同時配置多個白名單，具體如下：
Content-Security-Policy:
frame-ancestors http://aaa.com http://bbb.com http://ccc.com
X-Frame-Options:
ALLOW-FROM http://aaa.com,http://bbb.com,http://ccc.com
對于Nginx、apache 、IIS、tomcat 等不同的中間件有不同的配置方法 ， 再次不再贅述 ， 讀者可以根據(jù)需要的場景進行不同配置 。
瀏覽器訪問iframe問題
我們在訪問iframe 嵌入頁面的時候，從本系統(tǒng)前端調(diào)用系統(tǒng)后臺服務(wù)后 ， sendRedirect到第三方系統(tǒng)后臺服務(wù) ， 對X-Frame-Options頭進行了驗證后，正常應(yīng)該跳轉(zhuǎn)到請求頁面并對本系統(tǒng)瀏覽器進行內(nèi)容響應(yīng) 。
實際使用過程中卻發(fā)生了奇怪的現(xiàn)象，第三方服務(wù)驗證X-Frame-Options跨站驗證后，302 跳轉(zhuǎn)到了請求頁面，又302 調(diào)用了登出接口，截止302 調(diào)用了登錄接口，最終為用戶響應(yīng)了登錄頁面，如下圖所示 。

文章插圖


文章插圖
猜測一下，問題可能出在以下幾個方面：
1.第三方服務(wù)調(diào)用統(tǒng)一安全認證服務(wù)失敗，跳轉(zhuǎn)登錄頁面，但是并沒有安全認證失敗的響應(yīng)信息；
2.第三方服務(wù)沒有用戶信息，跳轉(zhuǎn)登錄頁面；
3.第三方請求跳轉(zhuǎn)頁面時 ， 對用戶信息進行了基于瀏覽器信息的再次認證，失敗并跳轉(zhuǎn)登錄頁面 。
經(jīng)過驗證更換其他瀏覽器后 ， 頁面可以正常訪問，說明統(tǒng)一安全認證無問題，且用戶信息也驗證正常，因此問題應(yīng)該是第三種情況 。
瀏覽器訪問iframe解決方案
經(jīng)過分析發(fā)現(xiàn)，Chrome內(nèi)核51版本開始，其對于Cookie的控制新增加了一個SameSite屬性，用來防止CSRF攻擊和用戶追蹤 。
由第三方提供iframe嵌入頁面服務(wù)的Cookie在Chrome內(nèi)核被認為是第三方Cookie，瀏覽器默認會禁止第三方Cookie跨域傳送，這里就涉及到瀏覽器Cookie 的SameSite屬性 。
SameSite 可以有下面三種值：
1.Strict僅允許一方請求攜帶 Cookie，即瀏覽器將只發(fā)送相同站點請求的 Cookie，即當(dāng)前網(wǎng)頁 URL 與請求目標 URL 完全一致；
2.Lax允許部分第三方請求攜帶 Cookie；
3.None無論是否跨站都會發(fā)送 Cookie 。
通過下面表格 ， 我們可以清晰看到 ， 不同請求類型下，SameSit屬性對第三方Cookie 的響應(yīng)方式 。

文章插圖
從上表可以看出，對大部分 web 應(yīng)用而言，Post 表單、iframe、AJAX這三種情況從以前的跨站會發(fā)送三方Cookie ， 變成了不發(fā)送 。
故這三種情況跨站給第三方發(fā)送Cookie需要在設(shè)置的時候?qū)ameSite設(shè)置為None 。
通過研究，我們發(fā)現(xiàn)可以通過配置Chrome 、Edge瀏覽器SameSite 屬性可以有效解決該問題 。
低于91版本的Chrome瀏覽器
Chrome中訪問地址chrome://flags/ 搜索samesite 將same-site-by-default-cookies，和SameSite by default cookies這兩項設(shè)置為Disabled后重啟瀏覽器再運行項目即可解決 。該設(shè)置默認情況下會將未指定SameSite屬性的請求看做SameSite=Lax來處理 。

文章插圖
　Chrome及Edge瀏覽器
打開瀏覽器快捷方式的屬性，在目標后添加
–disable-features=SameSiteByDefaultCookies,CookiesWithoutSameSiteMustBeSecure  ， 點擊應(yīng)用、確定按鈕 ， 重啟瀏覽器后生效 。
“C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe”
　通過執(zhí)行腳本直接生成有效的快捷方式
chcp 65001
echo 正在創(chuàng)建桌面快捷方式，請勿關(guān)閉本窗口.
::設(shè)置程序或文件的完整路徑（必?。?
set Program=%cd%\chrome.exe
::設(shè)置快捷方式名稱（必?。?
set LnkName=SSSChrome
::設(shè)置程序的工作路徑，一般為程序主目錄 ， 此項若留空，腳本將自行分析路徑
set WorkDir=%cd%
::設(shè)置快捷方式顯示的說明（可?。?
set Desc=SSSChrome
if not defined WorkDir call:GetWorkDir “%Program%”
(echo Set WshShell=CreateObject(“WScript.Shell”^)
echo strDesKtop=WshShell.SpecialFolders(“DesKtop”^)
echo Set oShellLink=WshShell.CreateShortcut(strDesKtop^&”\%LnkName%.lnk”^)
echo oShellLink.TargetPath=”%Program%”
echo oShellLink.Arguments=”–disable-features=SameSiteByDefaultCookies,CookiesWithoutSameSiteMustBeSecure”
echo oShellLink.WorkingDirectory=”%WorkDir%”
echo oShellLink.WindowStyle=1
echo oShellLink.Description=”%Desc%”
echo oShellLink.Save)>makelnk.vbs
echo 桌面快捷方式創(chuàng)建成功！
makelnk.vbs
del /f /q makelnk.vbs
exit
goto :eof
:GetWorkDir
set WorkDir=%~dp1
set WorkDir=%WorkDir:~,-1%
goto :eof
從下圖我們可以看到，響應(yīng)請求，由原來的4個302 后跳轉(zhuǎn)到登錄頁面變?yōu)?個302 跳轉(zhuǎn)后正常進入功能頁面，解決了請求第三方iframe時不發(fā)送Cookie 造成第三方服務(wù)認證通過跳轉(zhuǎn)登錄頁面的問題 。

文章插圖
總結(jié)
本文介紹了iframe內(nèi)聯(lián)框架，幫助您安全地嵌入iframe頁面并提高頁面集成效率和復(fù)用率，達到代碼的高復(fù)用和良好的用戶體驗 。
請求第三方iframe時，能夠?qū)frame進行請求頭驗證及統(tǒng)一安全驗證，實現(xiàn)iframe頁面安全嵌入 。針對瀏覽器訪問第三方iframe時存在的第三方Cookie 不能正常發(fā)送問題，提供了可行的解決方案，可以為頁面嵌入使用方面提供有效的借鑒 。
最后：1）關(guān)注+私信回復(fù)：“測試”，可以免費領(lǐng)取一份10G軟件測試工程師面試寶典文檔資料 。以及相對應(yīng)的視頻學(xué)習(xí)教程免費分享?。?其中包括了有基礎(chǔ)知識、Linux必備、Mysql數(shù)據(jù)庫、抓包工具、接口測試工具、測試進階-Python編程、Web自動化測試、APP自動化測試、接口自動化測試、測試高級持續(xù)集成、測試架構(gòu)開發(fā)測試框架、性能測試等 。

以上關(guān)于本文的內(nèi)容，僅作參考！溫馨提示：如遇健康、疾病相關(guān)的問題，請您及時就醫(yī)或請專業(yè)人士給予相關(guān)指導(dǎo)!

「愛刨根生活網(wǎng)」www.malaban59.cn小編還為您精選了以下內(nèi)容，希望對您有所幫助：

• 如何在Photoshop中清除文檔中所選畫板參考線
• 如何在WPS文檔中插入折線圖
• 如何批量在Excel中添加標題
• 如何在WORD文檔中插入多行多列的表格
• 如何在WPS文字中加入一個對話框
• 新解決Windows 10中javac未識別為內(nèi)部或外部命令的方法
• 如何在PS中制作更生動的光線投射效果
• 如何在Win7中建立WiFi熱點，讓手機共享上網(wǎng)
• 如何高效刪除Word表格中的多余數(shù)據(jù)列
• 如何在幾何畫板中繪制極軸