يقوم <iframe> بدمج مستند HTML آخر داخل صفحتك (خريطة أو فيديو أو عنصر واجهة دفع أو محتوى مستخدم غير موثوق به). نظراً لأن الصفحة المدمجة يمكنها تشغيل نصوصها الخاصة، فإن السمة sandbox أساسية لتضمين المحتوى بشكل آمن.
html
يقوم <iframe> بدمج مستند HTML آخر داخل صفحتك (خريطة أو فيديو أو عنصر واجهة دفع أو محتوى مستخدم غير موثوق به). نظراً لأن الصفحة المدمجة يمكنها تشغيل نصوصها الخاصة، فإن السمة sandbox أساسية لتضمين المحتوى بشكل آمن.
sandbox بدون أي قيمة يطبق أقصى قيود: لا نصوص، لا نماذج، لا نوافذ منبثقة، ويعامل المحتوى كأصل فريد. بعد ذلك يمكنك إعادة تفعيل القدرات بشكل انتقائي بسرد الرموز:
<iframe sandbox></iframe> <!-- locked down: scripts disabled, etc. -->
<iframe sandbox="allow-scripts allow-forms allow-popups"></iframe>
الرموز الشائعة:
allow-scripts — السماح بتشغيل JavaScript.allow-forms — السماح بإرسال النماذج.allow-same-origin — الحفاظ على أصلها (بدونها يكون لها أصل فارغ، مما يحجب التخزين والملفات).allow-popups, allow-modals, allow-top-navigation.ملاحظة أمان: دمج allow-scripts و allow-same-origin يسمح للإطار بإزالة sandbox الخاص به إذا كان نفس الأصل — تجنب هذا المزيج للمحتوى غير الموثوق به.
<iframe
referrerpolicy="no-referrer"
allow="camera 'none'; geolocation 'none'"
></iframe>
تدمج iframes محتوى تابعاً لجهات خارجية أو من إنشاء المستخدمين وهو محتوى لا تتحكم فيه ولا يجب أن تثق به بالكامل. sandbox (الرفض بشكل افتراضي، السماح فقط بما هو مطلوب) بالإضافة إلى referrerpolicy/allow يسمح لك باحتواء هذا المحتوى — منع تشغيل البرامج النصية غير المرغوبة، أو التنقل في صفحتك، أو الوصول إلى ميزات الجهاز.
أضف title لإمكانية الوصول و loading="lazy" للأداء.