Ένα <iframe> ενσωματώνει ένα άλλο έγγραφο HTML στη σελίδα σας (ένας χάρτης, βίντεο, γραφικό στοιχείο πληρωμής ή περιεχόμενο χρήστη που δεν είναι αξιόπιστο). Επειδή η ενσωματωμένη σελίδα μπορεί να εκτελέσει τα δικά της scripts, το γνώρισμα sandbox είναι κλειδί για την ασφαλή ενσωμάτωση.
sandbox χωρίς τιμή εφαρμόζει μέγιστους περιορισμούς: χωρίς scripts, χωρίς φόρμες, χωρίς αναδυόμενα παράθυρα, αντιμετωπίζει το περιεχόμενο ως ένα μοναδικό origin. Στη συνέχεια μπορείτε επιλεκτικά να επανενεργοποιήσετε δυνατότητες καταγράφοντας tokens:
<iframe sandbox></iframe> <!-- locked down: scripts disabled, etc. -->
<iframe sandbox="allow-scripts allow-forms allow-popups"></iframe>
Κοινά tokens:
allow-scripts — επιτρέψτε την εκτέλεση JavaScript.allow-forms — επιτρέψτε την υποβολή φορμών.allow-same-origin — διατηρήστε το origin του (χωρίς αυτό είναι null origin, αποκλείοντας αποθήκευση/cookies).allow-popups, allow-modals, allow-top-navigation.Σημείωση ασφάλειας: ο συνδυασμός allow-scripts και allow-same-origin επιτρέπει στο frame να αφαιρέσει το δικό του sandbox αν είναι same-origin — αποφύγετε αυτόν τον συνδυασμό για μη αξιόπιστο περιεχόμενο.
<iframe
referrerpolicy="no-referrer"
allow="camera 'none'; geolocation 'none'"
></iframe>
Iframes ενσωματώνουν περιεχόμενο τρίτων κατασκευαστών ή δημιουργημένο από χρήστες που δεν ελέγχετε και δεν πρέπει να εμπιστεύεστε πλήρως. sandbox (deny-by-default, επιτρέψτε μόνο αυτό που χρειάζεται) συν referrerpolicy/allow σας επιτρέπει να περιορίσετε αυτό το περιεχόμενο — εμποδίζει την εκτέλεση ανεπιθύμητων scripts, την πλοήγηση στη σελίδα σας ή τη πρόσβαση σε δυνατότητες συσκευής.
Προσθέστε title για προσβασιμότητα και loading="lazy" για απόδοση.