用IFRAME实现网页的内嵌和预载
--------------------------------------------------------------------------------
http://www.sina.com.cn 2001/09/04 14:37 中国电脑教育报 刘明锋
在HTM(HTML)文件中是否可以像PHP、ASP文件一样嵌入其他文件呢?下面笔者介绍用iframe来实现的方法。
iframe元素的功能是在一个文档里内嵌一个文档,创建一个浮动的帧。其部分属性简介如下:
name:内嵌帧名称
width:内嵌帧宽度(可用像素值或百分比)
height:内嵌帧高度(可用像素值或百分比)
frameborder:内嵌帧边框
marginwidth:帧内文本的左右页边距
marginheight:帧内文本的上下页边距
scrolling:是否出现滚动条(“auto”为自动,“yes”为显示,“no”为不显示)
src:内嵌入文件的地址
style:内嵌文档的样式(如设置文档背景等)
allowtransparency:是否允许透明
明白了以上属性后,我们可用以下代码实现,在main.htm中把samper.htm文件的内容显示在一个高度为80、宽度为100%、自动显示边框的内嵌帧中:
〈iframe name="import_frame" width=100%
height=80 src="samper.htm" frameborder=auto〉
〈/iframe〉
不错吧,马上“Ctrl+C”、“Ctrl+V”试试。
有时我们为强调页面的某项内容,想让它先于页面的其他内容显示。同样用iframe即可轻松实现:
先把要强调显示的内容另存为一个文件,如first.htm,然后通过一个预载页index.htm,内容如下:
〈meta http-equiv="refresh" content="3,url=index2.htm"〉
〈body〉
页面加载中,请稍候……〈iframe src="first.htm" style="display:none"〉〈/iframe〉
〈/body〉
主文件index2.htm
〈body〉
〈iframe src="first.htm"加入其他属性限制〉〈/iframe〉
〈/body〉
first.htm的内容就会先于页面的其他内容出现在您的浏览器里了,是不是很简单?再“Ctrl+C”、“Ctrl+V”一次?
-----------------------------------------------
另外俺给作者补充一句:这个iframe和一般的frame一样都是可以作为form提交的target的。
另外,再补充一点关于iframe的东东,也是通过google和上篇文章一起查到的,希望不要吓倒大家
-----------------------------------------------
IE IFRAME缓冲溢出漏洞
来源:CNCERT/CC 2004-11-09
安全漏洞CN-VA04-111
发布日期:2004-11-09
漏洞类型:远程系统访问
漏洞评估:高危
受影响版本:
Internet Explorer 6.0 on Windows XP SP1 (完全修补)
Internet Explorer 6.0 on Windows 2000 (完全修补)
漏洞描述:
IE中发现的这个新漏洞是由在处理<IFRAME>HTML标记的某些属性时的边界错误引起。具体地讲,一个叫做SHDOCVW.DLL的负责翻译IFRAME、FRAME和EMBED标记的通用Windows DLL文件受到缓冲溢出攻击的影响。恶意人员通过构造一个恶意的HTML文件,在其<IFRAME>标记中的“SRC”和“NAME”参数包含超长字符串,就可以引发缓冲区溢出攻击。成功利用该漏洞可以执行任意代码。当用户浏览HTML网页或查看HTML格式的邮件时,如果其中包含恶意构造的HTML标记,有可能系统会被恶意人员远程接管。
另外,使用WebBrowser Active X控件的其它程序也会受到该漏洞的影响,如Outlook、Outlook Express和Lotus Notes等。
该漏洞非常严重,在网上已发现该漏洞的利用代码。在实验室测试,利用代码可以进一步成为传播性更强的蠕虫。
解决方案:
Windows XP SP 2不受该漏洞的影响。
在微软提供全面解决方案之前,请先参考以下意见:
1.关闭活动脚本和ActiveX控件:
打开IE安全性设置,分别在Internet区和本地区关闭活动脚本和ActiveX控件将可以阻止该漏洞被利用。有关如何在Internet区关闭活动脚本可在微软网站的“恶意网页脚本FAQ”中查阅,有关保护本地区的信息可参考微软知识库833633号文。Windows XP (目前在 RC1)SP2中包括对IE相关问题的安全升级。http://www.microsoft.com/technet/.../winxpsp2.mspx
2.不要点击访问主动提供的链接,不要点击邮件、即时消息、网络论坛或者网络中继聊天频道(IRC)中提供的任何不明链接。
3.保持更新的反病毒软件能够辨别和防御一些攻击,但是也不能完全依赖于此。
4.使用别的浏览器
参考信息:
http://www.finjan.com/SecurityLab/.../alert_show.asp?attack_release_id=114
http://www.cert.org.cn/articles/...2004070521800.shtml
信息提供者:
启明星辰积极防御实验室
其它信息:
CVE编号:
首次发布日期:2004-11-09
修订次数:0
漏洞报告文档编写:
CNCERT/CC
