HTML5中嵌入在线文档需根据来源选择方案：一、用iframe嵌入Google Docs等公开文档，须设“任何人可查看”；二、通过OnlyOffice等第三方服务中转，确保响应头允许嵌入；三、用object/embed加载PDF，需服务器配置CORS；四、无法修改源站时，可用服务端代理过滤禁用响应头。

如果您希望在HTML5页面中展示在线文档内容，但直接插入链接无法实现内嵌预览，则可能是由于文档托管平台的嵌入策略或跨域限制导致。以下是实现HTML5在线文档嵌入并配置必要权限的步骤：

一、使用嵌入支持公开嵌入的文档

许多在线文档平台（如Google Docs、Office Online）为公开分享的文档提供嵌入代码，可直接加载其预览页面，前提是文档已设置为“任何人可查看”且平台允许嵌入。

1、打开目标文档（例如Google Docs），点击右上角“文件”→“发布到网页”→“嵌入”→复制生成的代码。

2、将代码粘贴至HTML5页面中，确保src属性指向有效的公开URL。

3、检查文档分享权限：在Google Docs中需设置为“任何拥有链接的人都可以查看”，若权限为“仅限指定人员”，嵌入将显示空白或403错误。

二、通过第三方文档预览服务中转嵌入

当原始文档平台不支持直接嵌入（如私有NAS、自建Nextcloud）时，可借助支持文档转换与预览的中间服务，将文件转为HTML或PDF流后嵌入。

1、注册支持文档预览的API服务（如OnlyOffice、Collabora Online或Docspad）。

2、上传待嵌入文档至该服务，并获取其公开预览URL或iframe embed地址。

3、在HTML5中使用加载。

注意：必须确认该服务返回的响应头包含X-Frame-Options: ALLOWALL或Content-Security-Policy: frame-ancestors *，否则浏览器将阻止嵌入。

三、利用或加载PDF类文档

对于静态PDF文件，HTML5原生支持通过或标签直接渲染，无需依赖外部平台，但要求PDF资源可被跨域访问或部署在同一源下。

1、确保PDF文件部署在支持CORS的服务器上，响应头包含Access-Control-Allow-Origin: *（或指定域名）。

2、在HTML5中写入：。

3、为兼容性备用方案，添加作为子元素或独立标签。

若PDF位于非同源服务器且未配置CORS，浏览器控制台将报错“Blocked a frame with origin ...”，此时嵌入失败。

四、服务端代理绕过跨域限制

当目标文档URL受严格CORS或X-Frame-Options限制，且无法修改源站配置时，可通过自有服务器创建代理接口，将文档内容中继返回，并移除禁止嵌入的响应头。

1、在Node.js或PHP后端编写代理路由，例如/proxy?url=https%3A%2F%2Fdocs.example.com%2Ffile.pdf。

2、代理逻辑中发起HTTP GET请求获取原始文档二进制流，过滤掉X-Frame-Options、Content-Security-Policy等响应头。

3、将清洗后的响应体与正确MIME类型（如application/pdf）一并返回给前端。

前端嵌入时必须使用代理路径而非原始URL，例如，否则仍受原始策略限制。