用IFRAME实现网页的内嵌和预载

用IFRAME实现网页的内嵌和预载

--------------------------------------------------------------------------------
 
http://www.sina.com.cn 2001/09/04 14:37 中国电脑教育报 刘明锋
 
　　在HTM(HTML)文件中是否可以像PHP、ASP文件一样嵌入其他文件呢？下面笔者介绍用iframe来实现的方法。

　　iframe元素的功能是在一个文档里内嵌一个文档，创建一个浮动的帧。其部分属性简介如下：

　　name：内嵌帧名称

　　width：内嵌帧宽度(可用像素值或百分比)

　　height：内嵌帧高度(可用像素值或百分比)

　　frameborder：内嵌帧边框

　　marginwidth：帧内文本的左右页边距

　　marginheight：帧内文本的上下页边距

　　scrolling：是否出现滚动条(“auto”为自动，“yes”为显示，“no”为不显示)

　　src：内嵌入文件的地址

　　style：内嵌文档的样式(如设置文档背景等)

　　allowtransparency：是否允许透明

　　明白了以上属性后，我们可用以下代码实现，在main.htm中把samper.htm文件的内容显示在一个高度为80、宽度为100%、自动显示边框的内嵌帧中：

　　〈iframe name="import_frame" width=100%

　　　height=80 src="samper.htm" frameborder=auto〉

　　〈/iframe〉

　　不错吧，马上“Ctrl+C”、“Ctrl+V”试试。

　　有时我们为强调页面的某项内容，想让它先于页面的其他内容显示。同样用iframe即可轻松实现：

　　先把要强调显示的内容另存为一个文件，如first.htm，然后通过一个预载页index.htm，内容如下：

　　〈meta http-equiv="refresh" content="3,url=index2.htm"〉

　　〈body〉

　　页面加载中，请稍候……〈iframe src="first.htm" style="display:none"〉〈/iframe〉

　　〈/body〉

　　主文件index2.htm

　　〈body〉

　　〈iframe src="first.htm"加入其他属性限制〉〈/iframe〉

　　〈/body〉

　　first.htm的内容就会先于页面的其他内容出现在您的浏览器里了，是不是很简单？再“Ctrl+C”、“Ctrl+V”一次？

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
另外俺给作者补充一句：这个iframe和一般的frame一样都是可以作为form提交的target的。

另外，再补充一点关于iframe的东东，也是通过google和上篇文章一起查到的，希望不要吓倒大家
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

 

IE IFRAME缓冲溢出漏洞   
  来源：CNCERT/CC      2004-11-09   
 
  
安全漏洞CN-VA04-111
发布日期：2004-11-09
漏洞类型：远程系统访问
漏洞评估：高危

受影响版本：

　　Internet Explorer 6.0 on Windows XP SP1 (完全修补)
　　Internet Explorer 6.0 on Windows 2000 (完全修补)

漏洞描述：

　　IE中发现的这个新漏洞是由在处理<IFRAME>HTML标记的某些属性时的边界错误引起。具体地讲，一个叫做SHDOCVW.DLL的负责翻译IFRAME、FRAME和EMBED标记的通用Windows DLL文件受到缓冲溢出攻击的影响。恶意人员通过构造一个恶意的HTML文件，在其<IFRAME>标记中的“SRC”和“NAME”参数包含超长字符串，就可以引发缓冲区溢出攻击。成功利用该漏洞可以执行任意代码。当用户浏览HTML网页或查看HTML格式的邮件时，如果其中包含恶意构造的HTML标记，有可能系统会被恶意人员远程接管。

　　另外，使用WebBrowser Active X控件的其它程序也会受到该漏洞的影响，如Outlook、Outlook Express和Lotus Notes等。

　　该漏洞非常严重，在网上已发现该漏洞的利用代码。在实验室测试，利用代码可以进一步成为传播性更强的蠕虫。

解决方案：

　　Windows XP SP 2不受该漏洞的影响。

　　在微软提供全面解决方案之前，请先参考以下意见：

　　1.关闭活动脚本和ActiveX控件：

　　打开IE安全性设置，分别在Internet区和本地区关闭活动脚本和ActiveX控件将可以阻止该漏洞被利用。有关如何在Internet区关闭活动脚本可在微软网站的“恶意网页脚本FAQ”中查阅，有关保护本地区的信息可参考微软知识库833633号文。Windows XP （目前在 RC1）SP2中包括对IE相关问题的安全升级。　　http://www.microsoft.com/technet/.../winxpsp2.mspx

　　2.不要点击访问主动提供的链接，不要点击邮件、即时消息、网络论坛或者网络中继聊天频道（IRC）中提供的任何不明链接。

　　3.保持更新的反病毒软件能够辨别和防御一些攻击，但是也不能完全依赖于此。

　　4.使用别的浏览器

参考信息：

　　http://www.finjan.com/SecurityLab/.../alert_show.asp?attack_release_id=114

　　http://www.cert.org.cn/articles/...2004070521800.shtml

信息提供者：

　　启明星辰积极防御实验室

其它信息：

　　CVE编号：
　　首次发布日期：2004-11-09
　　修订次数：0

漏洞报告文档编写：

　　CNCERT/CC

 

本文地址：http://com.8s8s.com/it/it31189.htm