Un <iframe> incrusta otro documento HTML dentro de tu página (un mapa, vídeo, widget de pago o contenido de usuario no confiable). Como la página incrustada puede ejecutar sus propios scripts, el atributo sandbox es fundamental para incrustarla de forma segura.
sandbox sin valor aplica restricciones máximas: sin scripts, sin formularios, sin ventanas emergentes, trata el contenido como un origen único. Luego reactivas selectivamente capacidades listando tokens:
<iframe sandbox></iframe> <!-- locked down: scripts disabled, etc. -->
<iframe sandbox="allow-scripts allow-forms allow-popups"></iframe>
Tokens comunes:
allow-scripts — permite ejecutar JavaScript.allow-forms — permite enviar formularios.allow-same-origin — mantiene su origen (sin esto es un origen nulo, bloqueando almacenamiento/cookies).allow-popups, allow-modals, allow-top-navigation.Nota de seguridad: combinar allow-scripts y allow-same-origin permite que el marco elimine su propio sandbox si es del mismo origen — evita esta combinación para contenido no confiable.
<iframe
referrerpolicy="no-referrer"
allow="camera 'none'; geolocation 'none'"
></iframe>
Los iframes incrustan contenido de terceros o generado por usuarios que no controlas y no debes confiar completamente. sandbox (deny-by-default, permite solo lo necesario) más referrerpolicy/allow te permite contener ese contenido — evitando que ejecute scripts no deseados, navegue tu página o acceda a características del dispositivo.
Agrega title para accesibilidad y loading="lazy" para rendimiento.