安全性方面的注意事项

　　如果不熟悉内嵌页面的概念，可以参考在一个页面中包含另一个页面的方式，这个概念与如何在窗体中使用子窗体控件想死。在Web页中，内嵌的控件被称作iframe元素。内嵌控制与子窗体的区别就是，iframe元素不能内嵌到同一数据库中，甚至同一网络中。内嵌页面的引用是通过URL地址来定位到其它的位置。换句话说，开发人员可以决定这个窗体的创建和存储位置，这样就能为项目创建更合适的窗体，包括引用窗体。只要源窗体可用，就不是问题，除非提供的窗体加入了某些恶意代码或是窗体属于其他人。如果数据库继续使用子窗体，那么自己的客户端就会存在风险。使用内嵌的页面形式也会出现相同的问题。由于设计的Web页面时能够内嵌的，这说明为什么在Web浏览器中，内嵌页面相对于Access窗体中的子控件存在更多的风险。应对这种风险的方法就是拒绝每台主机上来自不同主机的内容。

　　如果是刚从事Web页面开发，你讲需要了解两个重要的安全问题：跨越脚本和UI设计。考虑如下场景：想做一个在线购物网站，并在页面上提供购买按钮。你怎么才能知道那个按钮来自正规网站，而非来自恶意的第三方服务器？恶意的第三方插件能内嵌原来的页面，并添加一些恶意的脚本代码用于读取行用卡账号。在这种情况下，在原来的网站上制作真实的购买按钮，并且通过第三方服务器获取信用卡账号。补救的方法就是许多供应商，都同意才拿HTML5的新特性，一边在这样的情况下保护控件。

　　第一个特点是，在header标签中添加X-Frame-Optons信息，这样服务器就能够添加何时返回HTML的请求。服务器能够决定是否在页面上允许使用iframe元素内嵌的页面，并且明禁止在他们页面上显示其他网站。

　　另一个特点就是，虽然不是新的HTML5标准，但也有同源策略。所为同源策略，就是脚本必须来自同样的HTML文档。这样就能确保在访问来自网站的页面时，任何的脚本都必须实在其中的网站下载的。这就确保了不能访问来自不同网站和恶意代码的内容。