Element <iframe> vkládá další HTML dokument do vaší stránky (mapu, video, widget pro platby nebo obsah od uživatele, kterému se nevěří). Protože vkládaná stránka může spouštět své vlastní skripty, je atribut sandbox klíčový pro bezpečné vkládání.
sandbox bez hodnoty aplikuje maximální omezení: žádné skripty, žádné formuláře, žádné vyskakovací okna, zachází s obsahem jako s jedinečným zdrojem. Potom můžete selektivně znovu povolit schopnosti výčtem tokenů:
<iframe sandbox></iframe> <!-- locked down: scripts disabled, etc. -->
<iframe sandbox="allow-scripts allow-forms allow-popups"></iframe>
Běžné tokeny:
allow-scripts — povolte spuštění JavaScriptu.allow-forms — povolte odesílání formulářů.allow-same-origin — ponechte jeho zdroj (bez něj má nulový zdroj, což blokuje úložiště/cookies).allow-popups, allow-modals, allow-top-navigation.Poznámka zabezpečení: kombinace allow-scripts a allow-same-origin umožňuje rámci odstranit svůj vlastní sandbox, pokud má stejný zdroj — vyhněte se této kombinaci pro obsah od jiných stran.
<iframe
referrerpolicy="no-referrer"
allow="camera 'none'; geolocation 'none'"
></iframe>
Elementy iframe vkládají obsah třetích stran nebo vytvořený uživateli, který nekontrolujete a kterému se zcela neměli věřit. sandbox (deny-by-default, povolit pouze to, co je potřeba) plus referrerpolicy/allow vám umožňuje obsah izolovat — zabránit spuštění nežádoucích skriptů, navigaci vaší stránky nebo přístupu k funkcím zařízení.
Přidejte title pro přístupnost a loading="lazy" pro výkon.