Zauważyłem, że np. Facebook swoje gadżety internetowe opakowuje w
iframe-y. Chodzi mi o wtyczki społecznościowe Facebook-a, ale i pewnie
są w sieci serwisy, które podobnie robią.

Jest jakiś powód, by API, a właściwie jego kod dla przeglądarki, bazować
na iframe-ach? Może jakieś względy bezpieczeństwa?

--
Peter

do góry

W dniu 11-10-07 06:42, Peter May pisze:
> Zauważyłem, że np. Facebook swoje gadżety internetowe opakowuje w
> iframe-y. Chodzi mi o wtyczki społecznościowe Facebook-a, ale i pewnie
> są w sieci serwisy, które podobnie robią.
>
> Jest jakiś powód, by API, a właściwie jego kod dla przeglądarki, bazować
> na iframe-ach? Może jakieś względy bezpieczeństwa?
>

Nie jest to przypadkiem związane z obsługą AJAX?

To tylko moje (naiwne) przypuszczenie.

Pozdrawiam

--
http://jakub.otrzasek.pl

do góry

On Fri, 07 Oct 2011 05:42:20 +0100, Peter May <p...@o...pl> wrote:

> Zauważyłem, że np. Facebook swoje gadżety internetowe opakowuje w
> iframe-y. Chodzi mi o wtyczki społecznościowe Facebook-a, ale i pewnie
> są w sieci serwisy, które podobnie robią.
>
> Jest jakiś powód, by API, a właściwie jego kod dla przeglądarki, bazować
> na iframe-ach? Może jakieś względy bezpieczeństwa?

Tak.

iframe izoluje DOM między domenami, dzięki czemu można zrobić
zabezpieczenie przed CSRF (żeby złośliwe strony nie mogły automatycznie
się "Lubić", "Tweetować", itp.)

Poza tym dokument w iframe nie dziedziczy stylów strony, więc jeden
problem mniej.

Popularne gadżety każą się osadzać na stronie za pomocą <script>, ale
gdyby używały tylko <iframe> w kodzie strony, to dodatkowo zabezpieczało
by to stronę przed gadżetem zaglądającym w DOM, oraz gadżet ładowałby się
asynchronicznie.

--
regards, porneL

do góry

W dniu 2011-10-07 06:42, Peter May pisze:
> Zauważyłem, że np. Facebook swoje gadżety internetowe opakowuje w
> iframe-y. Chodzi mi o wtyczki społecznościowe Facebook-a, ale i pewnie
> są w sieci serwisy, które podobnie robią.
>
> Jest jakiś powód, by API, a właściwie jego kod dla przeglądarki, bazować
> na iframe-ach? Może jakieś względy bezpieczeństwa?
>

Obecnie dodając wtyczkę/przycisk "Lubię to" na swoją stronę, przy jej
generacji za pomocą FB Developers masz wybór: HTML5, xfbml, iframe. Nie
jestem pewny ale wersja HTML5 już chyba nie dodaje wspomnianego iframe'a.

Pakowanie w iframe jest zapewne przejawem wygody ze strony tworzącego
daną wtyczkę. Nie trzeba bowiem martwić się o kolizję ze skryptami
użytkownika/danej strony. Podobnie jest z kwestią wyglądu i posiadanych
już na stronie stylów. Ot mniej gimnastyki dla tworzącego wtyczkę.
Oczywiście iframe to mało estetyczne rozwiązanie.

--
Pozdrawiam,
Grzegorz Gawlik
http://gregbike.carbonmade.com

do góry

W dniu 2011-10-07 20:55, porneL pisze:
> On Fri, 07 Oct 2011 05:42:20 +0100, Peter May <p...@o...pl> wrote:
>
>> Zauważyłem, że np. Facebook swoje gadżety internetowe opakowuje w
>> iframe-y. Chodzi mi o wtyczki społecznościowe Facebook-a, ale i pewnie
>> są w sieci serwisy, które podobnie robią.
>>
>> Jest jakiś powód, by API, a właściwie jego kod dla przeglądarki,
>> bazować na iframe-ach? Może jakieś względy bezpieczeństwa?
>
> Tak.
>
> iframe izoluje DOM między domenami, dzięki czemu można zrobić
> zabezpieczenie przed CSRF (żeby złośliwe strony nie mogły automatycznie
> się "Lubić", "Tweetować", itp.)

> Poza tym dokument w iframe nie dziedziczy stylów strony, więc jeden
> problem mniej.

Powyższe ma sens. Dzięki za argumenty.

> Popularne gadżety każą się osadzać na stronie za pomocą <script>, ale
> gdyby używały tylko <iframe> w kodzie strony, to dodatkowo zabezpieczało
> by to stronę przed gadżetem zaglądającym w DOM, oraz gadżet ładowałby
> się asynchronicznie.

Nie wiem, czy dobrze rozumiem, ale akurat do zawartości iframe-a z
poziomu DOM-a można się dobrać bez problemu.

--
Peter

do góry

W dniu 2011-10-08 10:23, Peter May pisze:
>> Popularne gadżety każą się osadzać na stronie za pomocą <script>, ale
>> gdyby używały tylko <iframe> w kodzie strony, to dodatkowo zabezpieczało
>> by to stronę przed gadżetem zaglądającym w DOM, oraz gadżet ładowałby
>> się asynchronicznie.
>
> Nie wiem, czy dobrze rozumiem, ale akurat do zawartości iframe-a z
> poziomu DOM-a można się dobrać bez problemu.
>

Nie jeśli ramka jest w innej domenie. Np. to nie zadziała:


<iframe width="500" height="300" src="http://example.com"></iframe>

<script type="text/javascript">
window.onload = function(){ alert( frames[0].document.body.innerHTML ) };
</script>

No chyba że umieścisz to na example.com :)

do góry

On Sat, 08 Oct 2011 11:09:21 +0200, ramblinman wrote:


>> Nie wiem, czy dobrze rozumiem, ale akurat do zawartości iframe-a z
>> poziomu DOM-a można się dobrać bez problemu.
>>
>>
> Nie jeśli ramka jest w innej domenie. Np. to nie zadziała:

hmmm, a ktoś wie w jaki sposob http://kwejk.pl liczy ilość share pod
obrazkami? to nie jest w iframce?





--
pozdrawiam, Konrad Karpieszuk

do góry

W dniu 2011-10-08 12:00, |<onrad pisze:
> hmmm, a ktoś wie w jaki sposob http://kwejk.pl liczy ilość share pod
> obrazkami? to nie jest w iframce?

To chyba robi skrypt z Facebooka. Nie widzę tam żadnej ramki,
prawdopodobnie statystyki są w jakimś dołączanym JavaScripcie.
Zresztą z ramką też można się komunikować w razie potrzeby:
http://softwareas.com/cross-domain-communication-wit
h-iframes

Pzdr.,
Rafał

do góry

On Sat, 08 Oct 2011 09:23:12 +0100, Peter May <p...@o...pl> wrote:

>> Popularne gadżety każą się osadzać na stronie za pomocą <script>, ale
>> gdyby używały tylko <iframe> w kodzie strony, to dodatkowo zabezpieczało
>> by to stronę przed gadżetem zaglądającym w DOM, oraz gadżet ładowałby
>> się asynchronicznie.
>
> Nie wiem, czy dobrze rozumiem, ale akurat do zawartości iframe-a z
> poziomu DOM-a można się dobrać bez problemu.

http://en.wikipedia.org/wiki/Same_origin_policy

--
regards, porneL

do góry

W dniu 2011-10-08 16:05, porneL pisze:
> On Sat, 08 Oct 2011 09:23:12 +0100, Peter May <p...@o...pl> wrote:
>
>>> Popularne gadżety każą się osadzać na stronie za pomocą <script>, ale
>>> gdyby używały tylko <iframe> w kodzie strony, to dodatkowo zabezpieczało
>>> by to stronę przed gadżetem zaglądającym w DOM, oraz gadżet ładowałby
>>> się asynchronicznie.
>>
>> Nie wiem, czy dobrze rozumiem, ale akurat do zawartości iframe-a z
>> poziomu DOM-a można się dobrać bez problemu.
>
> http://en.wikipedia.org/wiki/Same_origin_policy

Ah racja, zapomniałbym :-) Chociaż cross domenowe zapytania da się
wykonać na kilka sposobów:

http://en.wikipedia.org/wiki/XMLHttpRequest#Cross-do
main_requests

--
Peter

do góry