<iframe> HTML-Einbettungselement

Probieren Sie es aus

<iframe
  id="inlineFrameExample"
  title="Inline Frame Example"
  width="300"
  height="200"
  src="https://www.openstreetmap.org/export/embed.html?bbox=-0.004017949104309083%2C51.47612752641776%2C0.00030577182769775396%2C51.478569861898606&amp;layer=mapnik">
</iframe>

iframe {
  border: 1px solid black;
  width: 100%; /* takes precedence over the width set with the HTML width attribute */
}

Jeder eingebettete Browsing-Kontext hat sein eigenes Dokument und ermöglicht URL-Navigationen. Die Navigationen jedes eingebetteten Browsing-Kontextes werden in die Sitzungshistorie des obersten Browsing-Kontextes linearisiert. Der Browsing-Kontext, der die anderen einbettet, wird als übergeordneter Browsing-Kontext bezeichnet. Der oberste Browsing-Kontext — der ohne Eltern — ist in der Regel das Browserfenster, das durch das Window-Objekt repräsentiert wird.

Attribute

Dieses Element enthält die globalen Attribute.

allow

Gibt eine Permissions Policy für das <iframe> an. Die Richtlinie definiert, welche Funktionen dem <iframe> basierend auf der Herkunft der Anfrage zur Verfügung stehen (zum Beispiel Zugriff auf Mikrofon, Kamera, Batterie, Web-Share usw.).

Siehe iframes im Thema Permissions-Policy für Beispiele.

Hinweis: Eine durch das allow-Attribut spezifizierte Permissions Policy implementiert eine weitere Einschränkung zusätzlich zur Richtlinie, die im Permissions-Policy-Header spezifiziert wird. Sie ersetzt diese nicht.

allowfullscreen

Wird auf true gesetzt, wenn das <iframe> den Vollbildmodus aktivieren kann, indem die requestFullscreen()-Methode aufgerufen wird.

Hinweis: Dieses Attribut wird als veraltetes Attribut betrachtet und als allow="fullscreen *" neu definiert.

allowpaymentrequest

Wird auf true gesetzt, wenn ein cross-origin <iframe> die Payment Request API aufrufen darf.

Hinweis: Dieses Attribut wird als veraltetes Attribut betrachtet und als allow="payment *" neu definiert.

browsingtopics

Ein boolesches Attribut, das, falls vorhanden, angibt, dass die ausgewählten Themen für den aktuellen Benutzer mit der Anfrage der Quelle des <iframe> gesendet werden sollen. Siehe Using the Topics API für weitere Details.

credentialless

Wird auf true gesetzt, um das <iframe> ohne Anmeldeinformationen zu verwenden, was bedeutet, dass dessen Inhalt in einem neuen, flüchtigen Kontext geladen wird. Es hat keinen Zugriff auf das Netzwerk, Cookies und gespeicherte Daten, die mit seiner Herkunft verbunden sind. Es verwendet einen neuen Kontext, der lokal zum Lebenszyklus des obersten Dokuments ist. Im Gegenzug können die Einbettregeln des Cross-Origin-Embedder-Policy (COEP) aufgehoben werden, sodass Dokumente mit gesetztem COEP Drittanbieterdokumente einbetten können, die dies nicht tun. Weitere Details finden Sie unter IFrame credentialless.

csp

Eine Content Security Policy, die für die eingebettete Ressource durchgesetzt wird. Details finden Sie unter HTMLIFrameElement.csp.

height

Die Höhe des Rahmens in CSS-Pixeln. Standard ist 150.

loading

Gibt an, wann der Browser das iframe laden soll:

eager

Lädt das iframe sofort beim Seitenaufruf (dies ist der Standardwert).

lazy

Verzögert das Laden des iframe, bis es eine berechnete Entfernung vom visuellen Viewport erreicht, wie vom Browser definiert. Die Absicht ist, die Nutzung von Netzwerk- und Speicherkapazität zu vermeiden, die erforderlich ist, um den Rahmen zu laden, bis der Browser mit angemessener Sicherheit annehmen kann, dass er benötigt wird. Dies verbessert die Leistung und Kosten in den meisten typischen Anwendungsfällen, insbesondere durch Reduzierung der anfänglichen Ladezeiten der Seite.

Das Laden wird nur verzögert, wenn JavaScript aktiviert ist. Dies ist eine Anti-Tracking-Maßnahme, da, wenn ein Benutzeragent Lazy Loading bei deaktiviertem Scripting unterstützte, es immer noch möglich wäre, dass eine Seite die ungefähre Scrollposition eines Benutzers während einer Sitzung verfolgt, indem strategisch iframes in einem Seitenmarkup platziert werden, sodass ein Server verfolgen kann, wie viele iframes angefordert werden und wann.

name

Ein anvisierbarer Name für den eingebetteten Browsing-Kontext. Dieser kann im Attribut target der <a>, <form> oder <base> Elemente verwendet werden; das formtarget-Attribut der <input> oder <button> Elemente; oder der windowName-Parameter in der window.open() Methode. Darüber hinaus wird der Name zu einer Eigenschaft der Window und Document Objekte, die einen Verweis auf das eingebettete Fenster oder das Element selbst enthalten.

privateToken

Enthält eine String-Darstellung eines Optionsobjekts, das eine Operation mit einem Private State Token darstellt; dieses Objekt hat dieselbe Struktur wie die Eigenschaft privateToken des RequestInit Dictionarys. IFrames, die dieses Attribut enthalten, können Operationen wie das Ausgeben oder Einlösen von Token initiieren, wenn deren eingebetteter Inhalt geladen wird.

referrerpolicy

Gibt an, welcher Referrer gesendet werden soll, wenn die Ressource des Frames abgerufen wird:

no-referrer

Der Referer-Header wird nicht gesendet.

no-referrer-when-downgrade

Der Referer-Header wird nicht an Ursprünge ohne TLS (HTTPS) gesendet.

origin

Der gesendete Referrer wird auf den Ursprung der verweisenden Seite begrenzt: ihr Schema, Host und Port.

origin-when-cross-origin

Der Referrer, der an andere Ursprünge gesendet wird, wird auf das Schema, den Host und den Port begrenzt. Navigationen am gleichen Ursprung beinhalten weiterhin den Pfad.

same-origin

Ein Referrer wird für gleichartigen Ursprung gesendet, aber Anfragen über unterschiedliche Ursprünge enthalten keine Referrer-Informationen.

strict-origin

Nur den Ursprung des Dokuments als Referrer senden, wenn das Protokoll-Sicherheitsniveau gleich bleibt (HTTPS→HTTPS), ihn jedoch nicht an ein weniger sicheres Ziel (HTTPS→HTTP) senden.

strict-origin-when-cross-origin (Standard)

Eine vollständige URL senden, wenn eine Anfrage am gleichen Ursprung durchgeführt wird, nur den Ursprung senden, wenn das Protokoll-Sicherheitsniveau gleich bleibt (HTTPS→HTTPS), und keinen Header an ein weniger sicheres Ziel senden (HTTPS→HTTP).

unsafe-url

Der Referrer wird den Ursprung und den Pfad enthalten (aber nicht den Fragment, Passwort oder Benutzername). Dieser Wert ist unsicher, da er Ursprünge und Pfade von TLS-geschützten Ressourcen an unsichere Ursprünge preisgibt.

sandbox

Kontrolliert die Einschränkungen, die auf den eingebetteten Inhalt im <iframe> angewendet werden. Der Wert des Attributs kann entweder leer sein, um alle Einschränkungen anzuwenden, oder durch Leerzeichen getrennte Tokens, um bestimmte Einschränkungen aufzuheben:

allow-downloads

Ermöglicht das Herunterladen von Dateien über ein <a>- oder <area>-Element mit dem download-Attribut sowie durch die Navigation, die zum Herunterladen einer Datei führt. Dies funktioniert unabhängig davon, ob der Benutzer auf den Link geklickt hat oder JS-Code dies ohne Benutzerinteraktion initiiert hat.

allow-forms

Ermöglicht der Seite, Formulare zu senden. Wenn dieses Schlüsselwort nicht verwendet wird, wird ein Formular normal angezeigt, aber das Senden wird keine Eingabevalidierung auslösen, Daten an einen Webserver senden oder einen Dialog schließen.

allow-modals

Ermöglicht der Seite, Modalfenster zu öffnen, z. B. durch Window.alert(), Window.confirm(), Window.print() und Window.prompt(), während das Öffnen eines <dialog> unabhängig von diesem Schlüsselwort erlaubt ist. Es erlaubt auch der Seite, das BeforeUnloadEvent-Ereignis zu empfangen.

allow-orientation-lock

Ermöglicht es der Ressource, die Bildschirmorientierung zu sperren.

allow-pointer-lock

Ermöglicht es der Seite, die Pointer Lock API zu verwenden.

allow-popups

Ermöglicht Popups (erstellt z. B. durch Window.open() oder target="_blank"). Wenn dieses Schlüsselwort nicht verwendet wird, schlägt diese Funktionalität stillschweigend fehl.

allow-popups-to-escape-sandbox

Erlaubt einem dokumentierten Dokument, einen neuen Browsing-Kontext zu öffnen, ohne die Sandboxing-Flags darauf anzuwenden. Dies ermöglicht beispielsweise, dass eine Drittanbieter-Anzeige sicher im Sandkasten ausgeführt wird, ohne dass dieselben Einschränkungen auf die Seite angewendet werden, auf die die Anzeige verlinkt. Wenn dieser Flag nicht enthalten ist, unterliegt eine umgeleitete Seite, ein Popup-Fenster oder ein neuer Tab denselben Sandbox-Einschränkungen wie das ursprüngliche <iframe>.

allow-presentation

Ermöglicht es Embedders, Kontrolle darüber zu haben, ob ein iframe eine Präsentationssitzung starten kann.

allow-same-origin

Wird dieses Token nicht verwendet, wird die Ressource als von einem speziellen Ursprung betrachtet, der immer die Same-origin-Policy verweigert (was möglicherweise den Zugriff auf Datenspeicherung/Cookies und einige JavaScript-APIs verhindert).

Hinweis: Wenn allow-same-origin vorhanden ist, kann ein gleichartiges übergeordnetes Dokument immer noch auf das DOM des iframes zugreifen und mit ihm interagieren, selbst wenn allow-scripts nicht gesetzt ist. Das allow-scripts-Token steuert nur die Skriptausführung im eingebetteten Browsing-Kontext und beeinflusst nicht den DOM-Zugriff vom übergeordneten Element.

allow-scripts

Ermöglicht der Seite das Ausführen von Skripten (aber nicht das Erstellen von Popup-Fenstern). Wenn dieses Schlüsselwort nicht verwendet wird, ist dieser Vorgang nicht zulässig.

allow-storage-access-by-user-activation

Ermöglicht einem in das <iframe> geladenen Dokument, die Storage Access API zu verwenden, um Zugriff auf nicht partitionierte Cookies anzufordern.

allow-top-navigation

Erlaubt der Ressource, den obersten Browsing-Kontext (den mit dem Namen _top) zu navigieren.

allow-top-navigation-by-user-activation

Erlaubt der Ressource, den obersten Browsing-Kontext zu navigieren, aber nur, wenn dies durch eine Benutzergeste initiiert wurde.

allow-top-navigation-to-custom-protocols

Erlaubt Navigationen zu nicht-http-Protokollen, die im Browser eingebaut oder von einer Website registriert sind. Diese Funktion wird auch durch die Schlüsselwörter allow-popups oder allow-top-navigation aktiviert.

Hinweis:

• Wenn das eingebettete Dokument denselben Ursprung wie die einbettende Seite hat, wird es stark abgeraten, sowohl allow-scripts als auch allow-same-origin zu verwenden, da dies dem eingebetteten Dokument erlaubt, das sandbox-Attribut zu entfernen — was keinen sichereren Schutz als das Nichtverwenden des sandbox-Attributs bietet.
• Sandboxing ist nutzlos, wenn der Angreifer Inhalte außerhalb eines sandboxed iframe anzeigen kann — so wie, wenn der Betrachter den Rahmen in einem neuen Tab öffnet. Solche Inhalte sollten auch von einem anderen Ursprung bereitgestellt werden, um möglichen Schaden zu begrenzen.

Hinweis: Beim Weiterleiten des Benutzers, Öffnen eines Popup-Fensters oder Öffnen eines neuen Tabs von einer eingebetteten Seite innerhalb eines <iframe> mit dem sandbox-Attribut wird der neue Browsing-Kontext den gleichen sandbox-Einschränkungen unterzogen. Dies kann Probleme verursachen — zum Beispiel, wenn eine Seite innerhalb eines <iframe> ohne ein sandbox="allow-forms" oder sandbox="allow-popups-to-escape-sandbox"-Attribut darauf eine neue Seite in einem separaten Tab öffnet, wird das Absenden eines Formulars in diesem neuen Browsing-Kontext stillschweigend fehlschlagen.

src

Die URL der einzubettenden Seite. Verwenden Sie einen Wert von about:blank, um eine leere Seite einzubetten, die den same-origin policy entspricht. Beachten Sie auch, dass das programmgesteuerte Entfernen eines src-Attributs eines <iframe> (z. B. durch Element.removeAttribute()) dazu führt, dass about:blank im Rahmen in Firefox (ab Version 65), auf Chromium-basierten Browsern und in Safari/iOS geladen wird.

Hinweis: Die about:blank-Seite verwendet die URL des einbettenden Dokuments als Basis-URL beim Auflösen von relativen URLs, wie Verankerung-links.

srcdoc

Inline-HTML zum Einbetten, das das src-Attribut überschreibt. Sein Inhalt sollte die Syntax eines vollständigen HTML-Dokuments befolgen, das die Doctype-Direktive, <html>, <body>-Tags usw. umfasst, obwohl die meisten davon weggelassen werden können, woraufhin nur der Body-Inhalt übrig bleibt. Dieses Dokument hat about:srcdoc als Standort. Wenn ein Browser das srcdoc-Attribut nicht unterstützt, fällt er auf die URL im src-Attribut zurück.

Hinweis: Die about:srcdoc-Seite verwendet die URL des einbettenden Dokuments als Basis-URL beim Auflösen von relativen URLs, wie Verankerung-links.

width

Die Breite des Rahmens in CSS-Pixeln. Der Standardwert ist 300.

Veraltete Attribute

Diese Attribute sind veraltet und werden möglicherweise nicht mehr von allen Benutzeragenten unterstützt. Sie sollten sie in neuen Inhalten nicht verwenden und versuchen, sie aus vorhandenen Inhalten zu entfernen.

align

Die Ausrichtung dieses Elements in Bezug auf den umgebenden Kontext.

frameborder

Der Wert 1 (der Standard) zeichnet einen Rahmen um diesen Rahmen. Der Wert 0 entfernt den Rahmen um diesen Rahmen, aber Sie sollten stattdessen die CSS-Eigenschaft border verwenden, um <iframe>-Rahmen zu steuern.

longdesc

Eine URL einer langen Beschreibung des Inhalts des Rahmens. Aufgrund weit verbreiteten Missbrauchs ist dies für nicht-visuelle Browser nicht hilfreich.

marginheight

Der Abstand in Pixeln zwischen dem Inhalt des Rahmens und dessen oberen und unteren Rändern.

marginwidth

Der Abstand in Pixeln zwischen dem Inhalt des Rahmens und dessen linken und rechten Rändern.

scrolling

Gibt an, wann der Browser eine Scrollleiste für den Rahmen bereitstellen sollte:

auto

Nur wenn der Inhalt des Rahmens größer ist als seine Abmessungen.

yes

Zeigt immer eine Scrollleiste an.

no

Zeigt nie eine Scrollleiste an.

Scripting

Inline-Frames, wie <frame>-Elemente, sind im window.frames-Pseudofeld enthalten.

Mit dem DOM-Objekt HTMLIFrameElement können Skripte auf das window-Objekt der gerahmten Ressource über die contentWindow-Eigenschaft zugreifen. Die contentDocument-Eigenschaft bezieht sich auf das document innerhalb des <iframe>, gleich contentWindow.document.

Von innerhalb eines Rahmens kann ein Skript einen Verweis auf sein übergeordnetes Fenster mit window.parent erhalten.

Der Skriptzugriff auf den Inhalt eines Rahmens unterliegt der same-origin policy. Skripte können nicht auf die meisten Eigenschaften in anderen window-Objekten zugreifen, wenn das Skript von einem anderen Ursprung geladen wurde, einschließlich Skripte innerhalb eines Rahmens, die auf das übergeordnete Fenster des Rahmens zugreifen. Cross-Origin-Kommunikation kann durch die Verwendung von Window.postMessage() erreicht werden.

Top-Navigation in cross-origin-Frames

Skripte, die in einem gleichartigen Rahmen ausgeführt werden, können auf die Window.top-Eigenschaft zugreifen und window.top.location setzen, um die oberste Seite auf einen neuen Ort umzuleiten. Dieses Verhalten wird als "Top-Navigation" bezeichnet.

Ein cross-origin-Rahmen darf die oberste Seite nur umleiten, wenn der Rahmen sticky activation hat. Wenn die Top-Navigation blockiert ist, können Browser entweder um Benutzererlaubnis bitten, um umzuleiten, oder den Fehler in der Entwicklerkonsole melden (oder beides). Diese Einschränkung durch Browser wird als framebusting intervention bezeichnet. Das bedeutet, dass ein Cross-Origin-Rahmen die oberste Seite nicht sofort umleiten kann — der Benutzer muss zuvor mit dem Rahmen interagiert oder die Erlaubnis gegeben haben, umzuleiten.

Ein gesandboxter Rahmen blockiert jede Top-Navigation, es sei denn, die Werte des sandbox-Attributs sind auf allow-top-navigation oder allow-top-navigation-by-user-activation gesetzt. Beachten Sie, dass Top-Navigationsberechtigungen vererbt werden, sodass ein verschachtelter Rahmen nur dann eine Top-Navigation durchführen kann, wenn seine übergeordneten Rahmen dies auch dürfen.

Positionierung und Skalierung

Als ersetztes Element erlaubt das <iframe>, die Position des eingebetteten Dokuments innerhalb seines Rahmens mit der CSS-Eigenschaft object-position einzustellen.

error und load Ereignisverhalten

Die Ereignisse error und load, die auf <iframe>s ausgelöst werden, könnten verwendet werden, um den URL-Raum der HTTP-Server des lokalen Netzwerks zu sondieren. Daher feuern Benutzeragenten als Vorsichtsmaßnahme das error-Ereignis nicht auf <iframe>s, und das load-Ereignis wird immer ausgelöst, selbst wenn der <iframe>-Inhalt fehlschlägt zu laden.

Barrierefreiheit

Personen, die mit assistiver Technologie wie einem Bildschirmleser navigieren, können das title-Attribut auf einem <iframe> verwenden, um dessen Inhalt zu beschriften. Der Wert des Titels sollte den eingebetteten Inhalt kurz beschreiben:

<iframe
  title="Wikipedia page for Avocados"
  src="https://en.wikipedia.org/wiki/Avocado"></iframe>

Ohne diesen Titel müssen sie in das <iframe> navigieren, um zu bestimmen, was dessen eingebetteter Inhalt ist. Dieser Kontextwechsel kann verwirrend und zeitaufwendig sein, besonders für Seiten mit mehreren <iframe> und/oder wenn Einbettungen interaktive Inhalte wie Videos oder Audios enthalten.

Beispiele

Ein einfaches <iframe>

Dieses Beispiel bettet die Seite unter https://example.org in ein iframe ein. Dies ist ein häufiger Anwendungsfall von iframes: um Inhalte von einer anderen Seite einzubetten. Zum Beispiel sind das Live-Beispiel selbst und das probiere es aus Beispiel am Anfang beide <iframe>-Einbettungen von Inhalten von einer anderen MDN-Seite.

HTML

<iframe
  src="https://example.org"
  title="iframe Example 1"
  width="400"
  height="300">
</iframe>

Ergebnis

Einbetten von Quellcode in ein <iframe>

Dieses Beispiel rendert Quellcode direkt in einem iframe. Dies kann als Technik verwendet werden, um Skriptinjection zu verhindern, wenn Benutzergenerierte Inhalte angezeigt werden, in Kombination mit dem sandbox-Attribut.

Beachten Sie, dass bei Verwendung von srcdoc alle relativen URLs im eingebetteten Inhalt relativ zur URL der einbettenden Seite aufgelöst werden. Wenn Sie Anker-Links verwenden möchten, die auf Stellen im eingebetteten Inhalt verweisen, müssen Sie about:srcdoc ausdrücklich als Basis-URL angeben.

HTML

<article>
  <footer>Nine minutes ago, <i>jc</i> wrote:</footer>
  <iframe
    sandbox
    srcdoc="<p>There are two ways to use the <code>iframe</code> element:</p>
<ol>
<li><a href=&quot;about:srcdoc#embed_another&quot;>To embed content from another page</a></li>
<li><a href=&quot;about:srcdoc#embed_user&quot;>To embed user-generated content</a></li>
</ol>
<h2 id=&quot;embed_another&quot;>Embedding content from another page</h2>
<p>Use the <code>src</code> attribute to specify the URL of the page to embed:</p>
<pre><code>&amp;lt;iframe src=&quot;https://example.org&quot;&amp;gt;&amp;lt;/iframe&amp;gt;</code></pre>
<h2 id=&quot;embed_user&quot;>Embedding user-generated content</h2>
<p>Use the <code>srcdoc</code> attribute to specify the content to embed. This post is already an example!</p>
"
    width="500"
    height="250"
></iframe>
</article>

So schreiben Sie Escape-Sequenzen bei der Verwendung von srcdoc:

• Schreiben Sie zuerst das HTML aus und entschärfen Sie alles, was Sie in einem normalen HTML-Dokument entschärfen würden (wie <, >, & usw.).
• < und < repräsentieren das gleiche Zeichen im srcdoc-Attribut. Ersetzen Sie daher alle kaufmännischen Und-Zeichen (&) mit &, um dies in eine tatsächliche Escape-Sequenz im HTML-Dokument zu verwandeln. Zum Beispiel wird < zu <, und & wird zu &.
• Ersetzen Sie alle doppelten Anführungszeichen (") mit ", um zu verhindern, dass das srcdoc-Attribut vorzeitig beendet wird (wenn Sie ' stattdessen verwenden, sollten Sie ' durch ' ersetzen). Dieser Schritt erfolgt nach dem vorherigen, sodass ", das in diesem Schritt erzeugt wird, nicht zu " wird.

Ergebnis

Technische Zusammenfassung

Spezifikationen

Browser-Kompatibilität

Siehe auch

• CSP: frame-ancestors
• Privacy, permissions, and information security
• Local network access