Как динамически подключать iframe через PHP

Раздел: Работа с HTML через PHP -> Встраивание iframe через PHP

Основные способы вставки iframe через PHP

Как обеспечить безопасное и гибкое встраивание iframe с проверкой источника?

Наиболее эффективным решением является создание функции на PHP, которая принимает URL, проводит его валидацию (проверка протокола, домена, экранирование) и генерирует HTML-код iframe с заданными атрибутами. Такой подход позволяет избежать XSS-уязвимостей и централизованно управлять параметрами. Пример:


<?php
function safeIframe($url, $width = '100%', $height = '400') {
    $allowed_hosts = ['example.com', 'trusted.org'];
    $parsed = parse_url($url);
    if (!in_array($parsed['host'] ?? '', $allowed_hosts)) {
        return '<!-- Host not allowed -->';
    }
    $escaped_url = htmlspecialchars($url, ENT_QUOTES, 'UTF-8');
    return "<iframe src=\"{$escaped_url}\" width=\"{$width}\" height=\"{$height}\" frameborder=\"0\" allowfullscreen></iframe>";
}
echo safeIframe('https://example.com/map', '100%', '500');
?>

Iframe embed php (встраивание iframe с помощью php)

В этом примере проверяется, входит ли хост в белый список, и URL экранируется. При недопустимом хосте возвращается комментарий (или пустая строка).

Типичная ошибка:

  • Использование функции echo без экранирования – приводит к уязвимости XSS. Решение: всегда применять htmlspecialchars.
  • Проверка URL только по схеме http, без учета https – может открыть незащищенный контент. Решение: разрешить оба протокола или принудительно заменять на https.
  • Жесткое задание размеров – iframe может выходить за границы контейнера. Решение: передавать ширину и высоту как параметры с гибкими значениями.

Как встроить iframe с помощью простого echo?

Самый простой вариант – вывести строку с HTML через echo. Подходит для статических iframe, когда URL известен заранее и не требует проверки.


<?php echo '<iframe src="https://example.com/video" width="560" height="315" frameborder="0"></iframe>'; ?>

Этот метод быстр, но небезопасен при подстановке переменных.

Возможная проблема:

Если URL содержит кавычки, разметка может сломаться. Решение: использовать htmlspecialchars или одинарные кавычки для обёртки PHP.

Как вставить iframe, передавая параметры через переменные?

Можно формировать строку с iframe, используя конкатенацию или heredoc. Это удобно, когда источник изменяется динамически (например, из базы данных).


<?php
$src = 'https://example.com/live';
$width = '100%';
$html = <<<IFRAME
<iframe src="$src" width="$width" height="600" sandbox="allow-scripts allow-same-origin"></iframe>
IFRAME;
echo $html;
?>

В heredoc не требуется экранирование кавычек, но переменные подставляются. Недостаток: отсутствие валидации.

Распространённая ситуация:

Переменная $src может содержать вредоносный код. Решение: перед выводом проверять через filter_var($src, FILTER_VALIDATE_URL).

Как встроить адаптивный iframe с использованием CSS?

Иногда требуется, чтобы iframe подстраивался под ширину контейнера. PHP-код генерирует обёртку с CSS-классом.


<?php
$iframe = '<iframe src="https://example.com/chart" width="100%" height="auto" style="border: none;"></iframe>';
echo "<div class='responsive-iframe'>$iframe</div>";
?>

Дополнительно можно задать пропорции через padding-bottom.

Ошибка отображения:

При height="auto" iframe может схлопнуться. Решение: установить фиксированную высоту в пикселях или использовать JavaScript для вычисления.

При выборе метода важно учитывать безопасность, гибкость и требования к производительности. Для встраивания контента из внешних источников рекомендуется подход с белым списком, описанный в rbase.

Расширенные примеры встраивания iframe через PHP

Пример 1: Генерация iframe из данных формы с валидацией

PHP-скрипт принимает URL через POST, проверяет его и выводит iframe с атрибутами sandbox.

Пример 

<?php
if ($_SERVER['REQUEST_METHOD'] === 'POST' && isset($_POST['url'])) {
    $raw_url = trim($_POST['url']);
    $validated = filter_var($raw_url, FILTER_VALIDATE_URL);
    if ($validated === false) {
        echo '<p class="error">Некорректный URL.</p>';
    } else {
        $allowed_schemes = ['http', 'https'];
        $scheme = parse_url($validated, PHP_URL_SCHEME);
        if (!in_array($scheme, $allowed_schemes)) {
            echo '<p class="error">Разрешены только http и https.</p>';
        } else {
            $escaped = htmlspecialchars($validated, ENT_QUOTES, 'UTF-8');
            echo "<iframe src=\"{$escaped}\" width=\"800\" height=\"600\" sandbox=\"allow-scripts\" frameborder=\"0\"></iframe>";
        }
    }
}
?>
<form method="post">
    <input type="url" name="url" placeholder="Введите URL" required>
    <button type="submit">Встроить iframe</button>
</form>

Результат: при вводе https://example.com/page выводится iframe с указанными атрибутами. Если URL некорректен или схема не разрешена, показывается сообщение об ошибке.

Пример 2: Динамическая подгрузка iframe из базы данных

Выборка записей с полями 'title' и 'iframe_url' из таблицы 'content', генерация списка iframe.

Пример 

<?php
$pdo = new PDO('mysql:host=localhost;dbname=test', 'user', 'pass');
$stmt = $pdo->query('SELECT title, iframe_url FROM content WHERE active = 1');
while ($row = $stmt->fetch(PDO::FETCH_ASSOC)) {
    $url = htmlspecialchars($row['iframe_url'], ENT_QUOTES, 'UTF-8');
    $title = htmlspecialchars($row['title'], ENT_QUOTES, 'UTF-8');
    echo "<h4>{$title}</h4>
          <iframe src=\"{$url}\" width=\"100%\" height=\"400\"></iframe>";
}
?>

Вывод: для каждой активной записи отображается заголовок и iframe. Данные экранируются для предотвращения инъекций.

Пример 3: Iframe с автоматической подстановкой параметров из сессии

Использование сессионных данных для персонализации встраиваемого контента.

Пример 

<?php
session_start();
$user_id = $_SESSION['user_id'] ?? 0;
$base_url = 'https://dashboard.example.com/widget';
$params = http_build_query(['uid' => $user_id, 'lang' => 'ru']);
$full_url = $base_url . '?' . $params;
$escaped_url = htmlspecialchars($full_url, ENT_QUOTES, 'UTF-8');
echo "<iframe src=\"{$escaped_url}\" width=\"100%\" height=\"300\" allow=\"geolocation\"></iframe>";
?>

Результат: iframe загружает виджет с идентификатором пользователя и языковыми настройками. Атрибут allow включает дополнительные разрешения.

Пример 4: Кеширование сгенерированного iframe

Для уменьшения нагрузки на сервер готовый HTML-код iframe сохраняется в файле или кеше.

Пример 

<?php
$cache_file = '/tmp/iframe_cache_' . md5('video123') . '.html';
if (file_exists($cache_file) && (time() - filemtime($cache_file) < 3600)) {
    readfile($cache_file);
    exit;
}
$iframe_html = '<iframe src="https://example.com/video123" width="560" height="315"></iframe>';
file_put_contents($cache_file, $iframe_html);
echo $iframe_html;
?>

При первом запросе iframe генерируется и сохраняется. В течение часа последующие запросы отдают закешированный код, не выполняя повторных вычислений.

Пример 5: Iframe с защитой от копирования (CSRF-токен в параметрах)

Добавление токена в URL iframe для валидации на стороне встраиваемого приложения.

Пример 

<?php
$token = bin2hex(random_bytes(16));
$_SESSION['iframe_token'] = $token;
$widget_url = 'https://widget.example.com/embed?token=' . urlencode($token);
echo "<iframe src=\"{$widget_url}\" width=\"400\" height=\"300\"></iframe>";
?>

Внешний сервис проверяет переданный токен с сохранённым в сессии. Это предотвращает несанкционированное встраивание виджета на сторонних сайтах.

Встраивание iframe с помощью PHP - comments

En
Iframe embed php (php)