Ein <iframe> bettet ein anderes HTML-Dokument in Ihre Seite ein (eine Karte, ein Video, ein Zahlungs-Widget oder nicht vertrauenswürdige Benutzerinhalte). Da die eingebettete Seite ihre eigenen Skripte ausführen kann, ist das sandbox-Attribut der Schlüssel zum sicheren Einbetten.
sandbox ohne Wert wendet maximale Einschränkungen an: keine Skripte, keine Formulare, keine Pop-ups, behandelt den Inhalt als einen eindeutigen Ursprung. Sie können dann selektiv Funktionen erneut aktivieren, indem Sie Token auflisten:
<iframe sandbox></iframe> <!-- locked down: scripts disabled, etc. -->
<iframe sandbox="allow-scripts allow-forms allow-popups"></iframe>
Häufige Token:
allow-scripts — JavaScript ausführen lassen.allow-forms — Formulare einreichen lassen.allow-same-origin — seinen Ursprung behalten (ohne dies ist es ein null-Ursprung, was Speicher/Cookies blockiert).allow-popups, allow-modals, allow-top-navigation.Sicherheitshinweis: Die Kombination von allow-scripts und allow-same-origin ermöglicht es dem Frame, seine eigene Sandbox zu entfernen, wenn es sich um denselben Ursprung handelt – vermeiden Sie diese Kombination für nicht vertrauenswürdige Inhalte.
iframes betten Inhalte von Drittanbietern oder benutzergenerierte Inhalte ein, die Sie nicht kontrollieren und denen Sie nicht vollständig vertrauen sollten. sandbox (standardmäßig ablehnen, nur das Notwendigste zulassen) plus referrerpolicy/allow ermöglicht es Ihnen, diesen Inhalt einzudämmen – verhindert das Ausführen unerwünschter Skripte, das Navigieren auf Ihrer Seite oder den Zugriff auf Gerätefunktionen.
Fügen Sie title zur Barrierefreiheit und loading="lazy" zur Leistung hinzu.
<iframe
referrerpolicy="no-referrer"
allow="camera 'none'; geolocation 'none'"
></iframe>