开发者社区

文档建议反馈控制台

文章/答案/技术大牛

发布

当我在iframe中添加一些css时，iframe位置:已修复不起作用

在处理iframe中的CSS样式时，特别是当你发现position: fixed不起作用时，这通常是由于浏览器的同源策略（Same-Origin Policy）导致的。同源策略限制了一个源的文档或脚本如何与另一个源的资源进行交互。

基础概念

同源策略：浏览器的一个安全功能，限制了一个源的文档或脚本如何与另一个源的资源进行交互。
position: fixed：CSS属性，使元素相对于视口固定位置，不随页面滚动而移动。

问题原因

当你在iframe中使用position: fixed时，如果iframe的内容和父页面不是同源的，浏览器会阻止样式应用，以确保安全性。

解决方案

方法一：使用同源策略

确保iframe的内容和父页面来自同一个源（协议、域名、端口相同）。

<!-- 父页面 -->
<iframe src="https://example.com/page.html"></iframe>

<!-- iframe内容 -->
<style>
  .fixed-element {
    position: fixed;
    top: 10px;
    left: 10px;
  }
</style>
<div class="fixed-element">Fixed Content</div>

方法二：使用postMessage进行跨域通信

如果无法使iframe内容和父页面同源，可以使用postMessage API进行跨域通信，然后在父页面中动态应用样式。

父页面：

<iframe id="myIframe" src="https://anotherdomain.com/page.html"></iframe>
<script>
  window.addEventListener('message', function(event) {
    if (event.origin !== 'https://anotherdomain.com') return; // 安全检查
    const iframe = document.getElementById('myIframe');
    iframe.contentDocument.body.style.position = 'fixed';
  });
</script>

iframe内容：

<script>
  window.parent.postMessage('applyFixedPosition', 'https://example.com');
</script>

方法三：使用CSS变量

在某些情况下，可以通过CSS变量来间接控制样式，但这仍然需要同源策略的支持。

<!-- 父页面 -->
<style>
  :root {
    --fixed-position: fixed;
  }
</style>
<iframe src="https://example.com/page.html"></iframe>

<!-- iframe内容 -->
<style>
  .fixed-element {
    position: var(--fixed-position);
    top: 10px;
    left: 10px;
  }
</style>
<div class="fixed-element">Fixed Content</div>

应用场景

嵌入式应用：在网页中嵌入第三方内容时。
多页面应用：在不同页面间共享样式和布局时。
跨域协作：不同域名下的页面需要协同工作时。

通过上述方法，可以有效解决iframe中position: fixed不起作用的问题，确保样式正确应用。

相关搜索:在iframe中滚动时，修复屏幕顶部的div 位置:在Materialize css模式中修复不起作用当我在Iframe中嵌入YouTube视频时，我想从其中删除视频标题在远程服务器上停用热链接时，Iframe在网站中不起作用当我使用var和rgba时，CSS变量在SCSS中不起作用当我尝试在chrome和safari中登录iframe时，它给出了错误，但在mozilla firefox中工作正常。在jquery中添加类时，css中的转换不起作用当我使用bootstrap css时，工具提示在完整日历中不起作用当我在模式中添加旋转木马时，关闭按钮在angular 6中不起作用当我在webpack配置中添加css加载器时，tinymce突然停止工作当我在SwiftUI中按下导航后退按钮时，是否可以添加一些操作？当我在add函数中添加提交函数时，为什么this程序不起作用？当我在WebApi中验证模型时，为什么我的dto类中的一些数据注释不起作用？当我在udacity中完成课程练习并想在three.js中添加阴影时遇到一些问题？在React/Gatsby中，当我无法访问document对象时，如何使用CSS关键帧为粘性标题添加动画？为什么当我在android webview中添加一个必应地图(我的位置) url时，不显示.gpx文件中的路径？我想在add方法中升级表属性，当我在一个表中添加一些东西时，我想要减少另一个表中的属性在带有两个大小的wxgrid中，当我尝试添加事件时，收到此错误- TypeError: be1()接受1个位置参数，但给出了2个

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Polyhedron主题：一款简洁大方的双栏自适应Typecho主题

[详细说明链接待补充] B站视频嵌入在B站视频页面分享处获取代码如： iframe src="//player.bilibili.com/player.html?...然后在给iframe 这个标签添加 class=“iframe_video” 位置如下: iframe class="iframe_video" src="//player.bilibili.com...侧边栏友链默认最多显示10个，可以在sidebar.php里更改 [详细说明链接待添加] 代码高亮基于Prism开发的代码高亮功能。你只需要在代码前加入标签即可实现代码高亮。...[详细说明链接待补充] 社交互娱您需要在主题设置中添加您的基本联系信息，这些信息将展现于页脚中。当然如果您觉得不需要这些链接，可以直接在footer.php删除相应代码。...V1.0.2 T0330 修复JS/CSS文件加载过慢更换CDN V1.0.4 T0330 重写评论区CSS，支持自定义CSS V1.1.0 T0331 更换回typecho自带评论系统 V1.1.0

1.7K2 0

如何用自己喜欢的 CSS 风格重置网站的样式

一些人喜欢在 Normalize.css 中添加一些自己偏好的样式，我也一样。在本文中，我会与你分享我自己的 CSS reset 项（除了 Normalize.css 之外我还使用它们）。...当我不了解这些时，默认设置会让我失望。但是我更喜欢通过自己编码设置所有边距和填充。...当我需要 disc 样式时，会在特定的上手动设置它。...（当用户点击按钮中的某些内容时，他们点击的内容是 event.target ，而不是按钮。如果按钮内有 HTML 元素，这种风格可以更轻松地处理 click 事件）。...我经常将 hidden 添加到用类设置的其他元素中。类的特异性高于属性，并且 display: none 属性不起作用。这就是为什么我选择用 !important 提高[hidden]的特异性。

1.4K3 0

8大前端安全问题（上） | 洞见

除了从安全问题发生的区域来分类之外，也可以从另一个维度来判断：针对某个安全问题，团队中的哪个角色最适合来修复它？是后端开发还是前端开发？...总的来说，当我们下面在谈论“前端安全问题”的时候，我们说的是发生在浏览器、前端应用当中，或者通常由前端开发工程师来对其进行修复的安全问题。...典型的例子是使用iframe在页面上添加第三方提供的广告、天气预报、社交分享插件等等。 iframe在给我们的页面带来更多丰富的内容和能力的同时，也带来了不少的安全隐患。...使用sandbox的最简单的方式就是只在iframe元素中添加上这个关键词就好，就像下面这样： iframe sandbox src="..."> ......---- 别被点击劫持了有个词叫做防不胜防，我们在通过iframe使用别人提供的内容时，我们自己的页面也可能正在被不法分子放到他们精心构造的iframe或者frame当中，进行点击劫持攻击。 ?

9985 0

学习记录03（网页挂马）

网页挂马将木马程序上传到网站，使用木马生成器生成一个网马，放到网页空间，在添加代码使木马在网页打开时运行 1.常见的几种方式将木马伪装成页面元素，木马被浏览器自动加载到本地利用脚本运行的漏洞下载木马...或和缺失的组件绑在一起（flash播放插件等）通过脚本运行调用某些com组件，利用其漏洞下载木马在渲染页面内容的过程中利用格式溢出释放木马（ani格式溢出漏洞等）在渲染页面内容的过程中利用格式溢出下载木马...html文件来举个例子，通常情况下将2中代码放到任何位置都可：例如：当使用代码 iframe src="地址" >iframe>时，在这个例子里也是图片伪装挂马：我们可以看到，在我们访问原网址时会出现我指的百度页面...=0 height=0>iframe>")前者写在html文件中，后者写在js文件中演示一下：在html文件的标签里加入...：转到horse.js文件，文件中添加document.write("iframe src='https://www.baidu.com/' width=0 height=0>iframe

2.3K1 0

Vue隐藏技能：运行时渲染用户写入的组件代码！

渐进式其实指的在一个已存在的但并未使用 vue 的项目上接入 vue，使用 vue，直到所有的 HTML 渐渐替换为通过 vue 渲染完成，渐进开发，渐进迁移，这种方式在 vue 刚出现那几年比较多，现在或许在一些古老的项目也会出现...如果设置了 src，则可以将依赖通过 script 标签和 link 标签提前写到静态页面文件中，使依赖资源在加载 iframe 时自动完成加载。...为了使 css 变化后也引发重绘，在计算属性component中也绑定了 css 的值，但这对于新建 vm 实例这个字段是无用的，也可以通过 watch css 的方式实现接下来考虑错误处理，对于 iframe...此限制带来的变化有以下几点依赖的资源需要提前内置在 iframe 内。内置指的是将依赖的资源通过 script，link 标签添加到 html 文件中，随 html 一并加载。...因此，在使用此功能时要慎重，在不同的应用场景中，要根据系统的安全级别，选取相应的方案。

3.7K1 0

ClickJacking攻击-获取管理员权限

ClickJacking是一种视觉欺骗攻击手段，在web端就是iframe嵌套一个透明不可见的页面，让用户在不知情(被欺骗)的情况下，点击攻击者想要欺骗用户点击的位置。...前面背景介绍的时候说了，点击劫持攻击其实就是镶嵌一个iframe框架(存在点击劫持漏洞的页面)在页面上，然后再把其修改为透明的样式。...这样的操作只是造成了视觉欺骗，还没达到欺骗点击的效果，所以就需要知道iframe框架其按钮的位置，然后在基于透明层模拟一个位置大小相同的按钮，发给用户让其点击~~ 这里以QQ安全中心的一个点击劫持为例...source_id=2985">iframe> 2.建立iframe的CSS样式: #frame { border: 0px; /*边框属性为0*/ height: 100%;...框架->建立iframe框架CSS样式->获取按钮位置大小->建立按钮->建立按钮CSS样式->留言板留言外网攻击链接->获取管理员Cookie->Cookie伪造进入后台

1.4K12 1

关于CSRF漏洞的一次有趣的交互

前言在一次项目中，挖掘了一些CSRF漏洞，将细节提交给客户后，发生了一些有趣的交互，这里简单的先把他叫为薛定谔的CSRF，对其深入了解了一下，且听我细细道来。...故事的开端是复测的时候，当我用Google浏览器复现CSRF的时候，已经无法复现成功的时候，复测报告对CSRF的漏洞就填写了已修复。然后客户提出了疑问。如下：既然并没有修复，那为什么复现不了了呢？...和客户同步了相关情况后，客户提出了新的疑问：这里重新使用Google浏览器进行了测试，打开F12查看数据流观察一下：这里我们发现，当我们去轻轻的点击了我们构造的测试链接时，浏览器发了四个请求：...最后一次请求用获取的Cookie在次向接口请求，但是请求方法变成了GET，而删除操作的参数是在POST数据包中，并没有提交过来，所以即使接口返回成功，但是并没有删除。..."> 发送 Cookie 不发送 iframe iframe src="...">iframe> 发送 Cookie 不发送 AJAX $.get("...")

4772 0

多应用聚合实践

iframe 在企业中，各个研发部门往往各自开发自己的应用。当需要把这些应用聚合在一起时。以往的解决方案是在主应用中嵌入 iframe，使用 iframe 加载和切换子应用页面。...当父应用页面被刷新时，iframe 会丢失跳转的路径状态（你可以将iframe中的页面状态保存在父应用的URL上，然后在刷新页面的时候从URL上读取状态再来修改iframe中的页面地址。...iframe 中的 DOM 是独立的。好处是 iframe 中的 DOM、CSS、JS 不会影响到父级，但坏处是当你想覆盖整个窗口来展示一个模态框时，它只会展示在 iframe 那一块区域。...CSS文件，就像你在加载antd、swiper等库的一些组件库时，非常定制化。...虽然在迁移或测试时可以添加额外的框架，出于实用性考虑，建议只使用一种框架。每个微前端都拥有独立的git仓库、package.json和构建工具配置。

1.6K2 0

使用HTTP Headers防御WEB攻击

现在我们进行抓包，当我们登陆时注意观察默认的Header信息。 ? 在成功登录之后我们看到一个搜索框，这里接受用户输入并返回相关信息给用户。 ? 下面是构建登录后页面的代码在我们这个实验中，会在用户管理页面中加载一个iframe标签，如下所述。成功登录之后会进入http://localhost/sample/home.php页面在 frame 中展示，即便是在相同域名的页面中嵌套也不允许。 SAMEORIGIN：表示该页面可以在相同域名页面的 frame 中展示。...当我们打开iframe.html文件时，由于跨域**而不能正常加载 ? 在浏览器的错误信息中可以看到 ? 错误信息表明了，不允许进行跨域。...这是因为服务器允许加载http://localhost 这个地址现在我们修改HTTP头，再加载在home.php文件中添加 header(“X-Frame-Options: ALLOW-FROM http

8893 0

无界微前端是如何渲染子应用的？

尽管在使用的过程中，我们也遇到了一些问题，但这些问题往往源于我们对框架实现的不熟悉。我们深入研究了无界技术的源码，并将在本文中与大家分享。本文将重点探讨无界微前端如何渲染子应用的。...，会存储在 processedCssList 数组中，需要遍历该数组的内容，将 CSS 重新嵌入到 HTML 中。...当我们在 iframe 中，使用 document.querySelector查找 #app 的 DOM 时，它只能在 iframe 中查找（副作用留在 iframe 中），但 UI 是渲染到 webComponent.../images/test.png" alt = "Test Image" />当我们在 DOM 中使用相对 url 时，会用 DOM 节点的 baseURI 作为基准，其默认值为 document.location.href...location 对象当我们在子应用 iframe 中获取 location.href， location.host 等属性的时候，需要获取的是子应用的 href 和 host（iframe 的 location

5.4K3 0

无界微前端是如何渲染子应用的？

尽管在使用的过程中，我们也遇到了一些问题，但这些问题往往源于我们对框架实现的不熟悉。我们深入研究了无界技术的源码，并将在本文中与大家分享。本文将重点探讨无界微前端如何渲染子应用的。...，会存储在 processedCssList 数组中，需要遍历该数组的内容，将 CSS 重新嵌入到 HTML 中。...当我们在 iframe 中，使用 document.querySelector查找 #app 的 DOM 时，它只能在 iframe 中查找（副作用留在 iframe 中），但 UI 是渲染到 webComponent.../images/test.png" alt = "Test Image" /> 当我们在 DOM 中使用相对 url 时，会用 DOM 节点的 baseURI 作为基准，其默认值为 document.location.href...location 对象当我们在子应用 iframe 中获取 location.href， location.host 等属性的时候，**需要获取的是子应用的 href 和 host**（iframe

1.3K3 0

前端安全问题之点击劫持

是一种视觉上的欺骗手段，攻击者通过使用一个透明的iframe，覆盖在一个网页上，然后诱使用户在该页面上进行操作，通过调整iframe页面的位置，可以使得伪造的页面恰好和iframe里受害页面里一些功能重合...高于Click to win按钮；当点击Click to win按钮时，实际是点击a.html中的内容。...隐藏目标网页：点击劫持的另一个核心是当我们点击某个网页时，是完全不能发现是点击的另一个网页。...X-FRAME-OPTIONS的属性如下：（1）DENY：不能被嵌入到任何iframe或frame中。（2）SAMEORIGIN：页面只能被本站页面嵌入到iframe或者frame中。...iframe 的z-index比其他dom 元素要大的；要防御点击劫持，可以通过设置 `X-FRAME-OPTIONS` 响应头，也可判定页面在iframe 中时进行跳转。

1.1K1 0

自适应页面高度

因为即使是同一分辨率，页面中的实际高度也不同。不过非常遗憾，网上的文章可谓无数，但基本都不能解决问题。...基本上是这两类： 1、页面中嵌了IFrame，希望Iframe不出现滚动条，大小刚刚和页面大小一样，这个基本方法，都是用页面的document.body.scrollHeight属性来完成的...其实我也是用Iframe，因为我的折叠菜单是用css+div实现的，没法用滚动条，所有我用一个Iframe来装它，当菜单过长时，由Iframe来显示滚动条。...2、基本讲的都是用CSS来自适应页面高度，这里不是这个问题。 ...，就不能使用了，因为这是一个跨域访问方法二是一种不错的办法，但由于不需要和主页面通信，当主页面显示速度很快时，嵌入式页面的JS代码可能不起作用。

2.7K7 0

利用openrestry动态修复部分漏洞

背景安全风险频出，在甲方如何在不影响业务的情况下修复安全漏洞是一个经常苦扰的问题，因为业务优先，业务在跑，安全没太大的权利责令业务停机修复漏洞，当然及其严重的漏洞除外。...点击劫持漏洞介绍点击劫持漏洞简单讲就是自己构造一个网页，然后用iframe嵌了其他网页，伪造的网页引诱用户点击，当用户点击时实际上是点击到了前面的iframe的网页。...src="https://www.baidu.com">iframe> 修复方案的话也比较简单，通过设置响应header，添加X-Frame-Options...在针对漏洞修复的情况，也可以依托于openrestry的lua脚本做到“热更新”。...，一些前端漏洞都可以通过此类方法解决，从而解决“业务不配合”的问题，做到“热更新”修复漏洞。

1951 0

看我如何窃取Messenger.com用户登录认证随机数并获得15000美元漏洞赏金

下面我们就一起来研究研究： Messenger.com网站中添加的Facebook的登录机制当用户访问messenger.com时，网站会发起Facebook端的请求https://www.facebook.com...研究如何窃取用户安全随机数初步分析在此类基于随机数认证登录的情况中，一般会存在一个参数使用户从当前网站重定向到另一个已添加登录应用的网站，所以，我首先从这里入手检查它的安全严谨性。...，使用户完成从Messenger到Facebook跳转，在此过程中，其重定向区域（/login/fb_iframe_target/）不允许更改或添加任何字符串请求，但是，经测试发现，可以在登录链接中添加一个...修复措施 Facebook首先的修复措施是在重定向URL中阻断了#符号的加入，但是，这种方式可以通过以下链接被绕过： https://www.facebook.com/login/messenger_dot_com_iframe...添加到链接https://www.facebook.com/login/messenger_dot_com_iframe/中的#在发生重定向之后，会被添加到链接https://fb.beta.messenger.com

2.5K5 0

位图和SVG用法比较

当放大位图时，可以看见赖以构成整个图像的无数单个方块。扩大位图尺寸的效果是增大单个像素，从而使线条和形状显得参差不齐。然而，如果从稍远的位置观看它，位图图像的颜色和形状又显得是连续的。...当我们需要引用其中一个图标时，我们可以使用以下这段 CSS 代码来显示图片： #print { width: 24px; height: 24px; background: url...而且在交互性上要优于位图图片；你可以使用图片名称来引用SVG对象，相比于通过手动计算像素位置通过CSS样式定位图片，显然方便了很多。...中添加哈希值来指定目标对象，如sprite.xml#circle ，我们就可以仅显示圆形所在图层。...我们可以通过很多途径添加 SVG文件，如Object、iframe、img标签或者是作为CSS背景添加（Chrome、Safari和Opera 15+都不支持以img标签或者CSS背景添加形式添加SVG

3K6 0

JavaScript中的沙箱机制探秘:iFrame沙箱实现方案详解

在这些方案中，在引擎层面制造隔离的iframe方案显然是最简单可行的。...HTML5带来的iframe的sandbox属性为iframe的安全机制提供了规范，在添加了sandbox属性后，默认将禁止iframe中的内容执行脚本、提交表单、访问本地文件、运行插件、导航等各种风险行为..."">iframe> 当Host需要向sandbox中传递消息时，就在iframe的src尾部添加hashTag： document.getElementById('sandboxFrame').src...一些新技术在现今的一些应用中，浏览器的版本也不再有那么多束缚，那么何不大胆尝试一些更好用的新鲜技术呢？...中的app发送请求后需要用回调处理返回的结果，因此这里在postMessage之后添加了一个message事件的监听，在Host得到结果后可以通过postMessage把消息传回给app。

4.6K1 0

Web Security 之 Clickjacking

如何构造一个基本的点击劫持攻击点击劫持攻击使用 CSS 创建和操作图层。攻击者将目标网站通过 iframe 嵌入并隐藏。...iframe 被定位在浏览器中，使用适当的宽度和高度位置值将目标动作与诱饵网站精确重叠。...预填写输入表单一些需要表单填写和提交的网站允许在提交之前使用 GET 参数预先填充表单输入。...当 iframe 的 sandbox 设置为 allow-forms 或 allow-scripts，且 allow-top-navigation 被忽略时，frame 拦截脚本可能就不起作用了，因为...例如，攻击者可能希望诱骗用户从零售网站购买商品，而在下单之前还需要将商品添加到购物篮中。为了实现这些操作，攻击者可能使用多个视图或 iframe ，这也需要相当的精确性，攻击者必须非常小心。

1.6K1 0

将 SVG 与媒体查询结合使用

我们可以使用styleSVG 元素的属性来应用 CSS，使用该元素在文档中对 CSS 进行分组，或者链接到外部样式表。每种方法的优缺点与在 HTML 中使用 CSS 时相同。...某些 CSS 属性（例如filter）可与 SVG 或 HTML 一起使用。在本章中，我们将在特定技术的背景下讨论其中的一些。...在Firefox和 WebKit 中添加支持的工作尚未开始。对于其他形状元素，SVG 2 规范完全不一致。...动画和转换 SVG CSS 属性当我们将过渡和动画添加到混合中时，将 CSS 与 SVG 结合使用会变得更加有趣。该过程就像使用 CSS 为 HTML 元素设置动画一样，但具有 SVG 特定的属性。...但是当我们将animate类添加到我们的圆圈中时，我们将划线长度移动到500并消除间隙。效果有点像用圆规画一个圆。为什么是500？这是创造这种特殊效果的最小值。

6.2K0 0

PHP跨站脚本攻击(XSS)漏洞修复思路（二）

从上一篇文章看出，部署了 360 出的 XSS 修复插件之后，至少还存在 iframe 无法过滤缺憾，是否还有其他纰漏目前还不得而知。...比如，依然搜索 360 爆出的“88888iframe src=http://xxooxxoo.js>”： ? 从搜索结果可以看出，系统已自动过滤了后面的 iframe 恶意内容，问题得到解决。...二、代码转义问题②，WordPress 的评论并不能如此暴力的过滤，因为很多用户确实是想提交一些 html 代码，来进行交流。...对于这种情况，有 3 种思路： ajax 方式的评论都会用到主题下的 comment-ajax.php 文件，所以我们编辑这个文件，搜索$comment_type = ''，然后在这行后面添加以下三种方法中...Ps：其实 WordPress 本身已屏蔽了 XSS 漏洞，评论是不允许一些 html 代码的，比如 font 字体标签等。

1.6K5 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭