当前位置：首页 > news >正文

博客标题：深入浅出 HTML ＜iframe＞：网页里的“画中画”魔法

news 2026/5/11 17:57:59

你好，开发者们和站长们！

在构建网页时，你是否遇到过这样的需求：想在自己的页面上直接播放 Bilibili 或 YouTube 视频？需要在“联系我们”页面嵌入一张动态的百度地图？或者需要集成一个第三方的表单工具？

如果你的答案是“Yes”，那么你必须掌握一个古老而强大的 HTML 标签——<iframe>。

今天，我们就来用最通俗易懂的语言，配合直观的图解，彻底搞懂这个网页里的“画中画”魔法。

简单来说，<iframe>（Inline Frame，内联框架）就是在你的网页中挖一个洞，然后在这个洞里展示另一个网站的内容。

想象一下你家客厅的墙上挂了一幅画。通常这幅画是静止的。但如果这幅画变成了一个窗口，透过这个窗口能看到隔壁邻居家正在发生的事情，这就是<iframe>的作用。

在代码层面，它的基础用法非常简单：

<iframe src="https://www.example.com"></iframe>

只需要一个src属性，告诉浏览器你想在这个框架里加载哪个网址就行了。

在现代 Web 开发中，<iframe>依然扮演着重要的角色，尤其是在处理第三方内容集成时。

最经典的应用场景包括：

仅仅把内容引进来是不够的，你还需要控制这个“窗口”长什么样，以及具备什么能力。

width和height：设置 iframe 的宽度和高度（可以使用像素 px 或百分比 %）。
frameborder（已废弃，建议用 CSS）：以前用来隐藏 iframe 自带的丑陋边框（frameborder="0"）。现在我们通常在 CSS 中设置border: none;。

<iframe src="https://map.baidu.com/..." width="500" height="300" style="border:none;"> </iframe>

有些功能默认是被浏览器禁用的，需要你显式开启：

<iframe src="..." allowfullscreen></iframe>

这是本篇文章最关键的部分！

把别人的网页嵌入到你的地盘，是有风险的。万一被嵌入的网页里有恶意脚本，试图窃取你主站的用户 Cookie，或者自动跳转页面怎么办？

这时候，就需要sandbox属性出场了。

sandbox就像是给这个 iframe 加上了一个透明的隔离罩，或者说把它关进了一个“沙箱”里。默认情况下，加上sandbox属性会启用最高级别的限制：禁止运行脚本、禁止表单提交、禁止弹窗等。

我们可以通过添加特定的值，来有选择性地放开限制：

最佳实践：始终遵循“最小权限原则”。只给予 iframe 正常运行所需的最小权限。

<iframe src="..." sandbox="allow-scripts allow-forms"> </iframe>

虽然 iframe 很好用，但它绝不是万能钥匙。在使用前，你需要了解它的缺点：

SEO（搜索引擎优化）问题：搜索引擎爬虫可能不会抓取 iframe 内部的内容。因此，千万不要把网站的核心内容放在 iframe 里。
移动端滚动体验：在手机上，“页面里套页面”常常会导致滚动冲突，用户体验极差（到底是在滚主页面，还是在滚 iframe？）。
性能开销：每一个 iframe 实际上都是一个完整的浏览器上下文，它需要加载自己的 HTML、CSS 和 JS。过多的 iframe 会显著拖慢页面的加载速度。
同源策略限制：如果你嵌入的页面和你自己的网站不是同一个域名（跨域），那么主页面和 iframe 页面之间的 JavaScript 通信会受到严格限制（需要使用postMessage等复杂技术）。