Если вы используете PHP, то работа с iframe требует особого подхода к безопасности и валидации

Раздел: Разработка на PHP -> Встраивание контента

Встраивание iframe с помощью PHP: методы и примеры

Основной подход: безопасная генерация iframe через PHP

Наиболее эффективное решение предполагает создание функции, которая принимает все параметры iframe (src, width, height, sandbox, allow, srcdoc и т.д.), экранирует их с помощью htmlspecialchars и возвращает готовый HTML-код. Это позволяет избежать XSS-атак и сделать код переиспользуемым.


function safeIframe(string $src, array $attrs = []): string {
    $allowed = ['width', 'height', 'frameborder', 'allowfullscreen', 'sandbox', 'allow', 'srcdoc', 'loading', 'referrerpolicy'];
    $html = '<iframe src="' . htmlspecialchars($src, ENT_QUOTES, 'UTF-8') . '"';
    foreach ($attrs as $key => $value) {
        if (in_array($key, $allowed)) {
            $html .= ' ' . $key . '="' . htmlspecialchars($value, ENT_QUOTES, 'UTF-8') . '"';
        }
    }
    $html .= '></iframe>';
    return $html;
}

Вызов: safeIframe('https://example.com', ['width' => 600, 'height' => 400, 'sandbox' => 'allow-scripts allow-same-origin']).

Цель: создание защищённого iframe с контролем над атрибутами. Используется в темах, плагинах, любых проектах, где требуется встраивать внешний контент.

Типичные ошибки:

  • Отсутствие экранирования src - приводит к XSS, если src динамический.
  • Игнорирование атрибута sandbox - внешний контент может выполнять нежелательные скрипты.
  • Неправильная обработка srcdoc - нужно экранировать содержимое как HTML-сущности.

Как через PHP просто вывести iframe с фиксированным src?

Самый простой вариант - напрямую вставить HTML в PHP-файл через echo или в шаблоне. Подходит для статических ссылок.


<?php
$src = 'https://www.youtube.com/embed/dQw4w9WgXcQ';
echo '<iframe src="' . $src . '" width="560" height="315"></iframe>';
?>

Цель: быстрая вставка, когда знаешь, что src безопасен (собственный домен или надёжный сервис).

Проблемы: если src приходит из переменной без очистки - уязвимость. Браузер может блокировать iframe из-за заголовка X-Frame-Options.

Как динамически изменять src iframe в зависимости от данных из БД?

Необходимо извлекать URL из базы данных и фильтровать его через белый список доменов.


$allowedDomains = ['example.com', 'trusted-video.com'];
$url = $dbResult['iframe_url'];
$parsed = parse_url($url);
if (in_array($parsed['host'] ?? '', $allowedDomains)) {
    echo safeIframe($url, ['width' => 800]);
} else {
    echo 'Ссылка не разрешена.';
}

Цель: интеграция с CMS, где контент-менеджеры добавляют iframe в записи.

Ошибка: проверка только по домену без учёта поддоменов или схемы. Лучше использовать регулярное выражение или парсинг.

Как вставить iframe через srcdoc для безопасного встраивания собственного HTML?

Атрибут srcdoc позволяет вставить HTML-код напрямую, минуя внешний источник. Это полезно для виджетов или превью.


$content = '<h1>Привет, если!</h1><p>Это контент внутри iframe.</p>';
echo safeIframe('about:blank', ['srcdoc' => $content, 'width' => 500, 'height' => 300]);

Цель: встраивание маленьких интерфейсов (калькуляторы, формы) с изоляцией.

Проблема: srcdoc не поддерживается в старых браузерах. Нужен fallback на src. Также содержимое должно быть экранировано как HTML-сущности.

Как защитить страницу от нежелательного встраивания через PHP?

Установка заголовка Content-Security-Policy с директивой frame-ancestors запрещает встраивание на сторонних сайтах.


header("Content-Security-Policy: frame-ancestors 'self';");

Цель: защита от clickjacking. Наоборот, если нужно разрешить определённые домены, перечислить их: frame-ancestors example.com *.example.com.

Ошибка: если заголовок установить после вывода HTML, он не сработает. Нужно вызывать до любого вывода.

Расширенные примеры использования iframe в PHP

Ниже представлены подробные примеры с кодом и ожидаемым результатом.

Пример 1: Генератор безопасного iframe с srcdoc

Создаём iframe, встраивающий фрагмент HTML с подсветкой кода.

Пример 

<?php
function iframeSrcdoc(string $html, int $width = 800, int $height = 600): string {
    $escaped = htmlspecialchars($html, ENT_QUOTES, 'UTF-8');
    return "<iframe srcdoc='$escaped' width='$width' height='$height' sandbox='allow-scripts'></iframe>";
}

$myHtml = '<div style="background:#eee;padding:10px;"><b>Hello from srcdoc!</b></div>';
echo iframeSrcdoc($myHtml, 400, 200);
?>

<iframe srcdoc='<div style="background:#eee;padding:10px;"><b>Hello from srcdoc!</b></div>' width='400' height='200' sandbox='allow-scripts'></iframe>

Пояснение: функция экранирует HTML-сущности, чтобы srcdoc не нарушил разметку. Атрибут sandbox=allow-scripts позволяет выполнять скрипты внутри iframe, но блокирует многие опасные операции.

Пример 2: Динамический src из базы данных с валидацией

Предположим, в таблице content есть столбец video_url. Нужно вывести iframe только для разрешённых видеохостингов.

Пример 

<?php
$allowedProviders = [
    'youtube.com' => '/^https?:\/\/(www\.)?youtube\.com\/embed\/[a-zA-Z0-9_-]+$/',
    'vimeo.com' => '/^https?:\/\/(player\.)?vimeo\.com\/video\/[0-9]+$/',
];

$url = $dbRow['video_url']; // например, 'https://www.youtube.com/embed/abc123'
$valid = false;
foreach ($allowedProviders as $domain => $pattern) {
    if (preg_match($pattern, $url)) {
        $valid = true;
        break;
    }
}

if ($valid) {
    echo '<iframe src="' . htmlspecialchars($url, ENT_QUOTES) . '" width="560" height="315" frameborder="0" allowfullscreen></iframe>';
} else {
    echo 'Недопустимый источник видео.';
}
?>

<iframe src="https://www.youtube.com/embed/abc123" width="560" height="315" frameborder="0" allowfullscreen></iframe>

Пояснение: используется регулярное выражение для точной проверки домена и пути. Это надёжнее простой проверки домена через parse_url.

Пример 3: Установка Content Security Policy для разрешения iframe из внешнего источника

Нужно разрешить встраивание только с конкретного домена на серверной стороне.

Пример 

<?php
// Разрешить встраивание этой страницы только на сайте 'https://myapp.com'
header("Content-Security-Policy: frame-ancestors 'self' https://myapp.com;");
?>
<!DOCTYPE html>
<html>
<head><title>Защита от clickjacking</title></head>
<body>
    <p>Эта страница может быть встроена только на myapp.com.</p>
</body>
</html>

HTTP-заголовок: Content-Security-Policy: frame-ancestors 'self' https://myapp.com;
Страница отображается только если открыта в iframe на указанных доменах.

Пояснение: директива frame-ancestors ограничивает, какие сайты могут встраивать данную страницу через iframe. Для полного запрета укажите 'none'.

Пример 4: Создание iframe с передачей данных через POST (используя PHP как прокси)

Некоторые сервисы требуют передачи данных через POST. Можно создать промежуточный PHP-скрипт, который отправляет POST-запрос и возвращает ответ внутри iframe с помощью srcdoc.

Пример 

<?php
// proxy.php
$url = 'https://api.example.com/submit';
$data = ['key' => 'value'];

$ch = curl_init($url);
curl_setopt($ch, CURLOPT_POST, true);
curl_setopt($ch, CURLOPT_POSTFIELDS, http_build_query($data));
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, true);
$response = curl_exec($ch);
curl_close($ch);

// Вставляем ответ внутрь iframe через srcdoc
$safeResponse = htmlspecialchars($response, ENT_QUOTES, 'UTF-8');
echo '<iframe srcdoc="' . $safeResponse . '" width="100%" height="500"></iframe>';
?>

Если API вернул JSON: {"status":"ok"}, то iframe отобразит это как текст.
Если вернул HTML, он будет интерпретирован внутри iframe.

Пояснение: метод полезен, когда нужно встроить результат стороннего API, который не отдаёт JSONP или не поддерживает CORS. Все данные проходят через сервер, поэтому конфиденциальность обеспечивается (если сервер использует HTTPS).

Использование iframe в PHP

Использование iframe в PHP - comments

En
Php iframe (php)