Elementti <iframe> upottaa toisen HTML-asiakirjan sivulle (kartta, video, maksumoduuli tai epäluotettava käyttäjäsisältö). Koska upotettu sivu voi suorittaa omia skriptejaan, sandbox-attribuutti on avainasemassa sisällön turvalliselle upottamiselle.
sandbox ilman arvoa soveltaa maksimaalisia rajoituksia: ei skriptejä, ei lomakkeita, ei ponnahdusikkunoita, käsittelee sisältöä ainutlaatuisena alkuperänä. Voit sitten valinnaisesti ottaa uudelleen käyttöön ominaisuuksia listaamalla tokeneita:
<iframe sandbox></iframe> <!-- locked down: scripts disabled, etc. -->
<iframe sandbox="allow-scripts allow-forms allow-popups"></iframe>
Yleiset tokenin:
allow-scripts — salli JavaScriptin suorittaminen.allow-forms — salli lomakkeiden lähettäminen.allow-same-origin — säilytä sen alkuperä (ilman sitä se on nolla-alkuperä, mikä estää tallennuksen/evästeet).allow-popups, allow-modals, allow-top-navigation.Turvallisuushuomautus: allow-scripts ja allow-same-origin yhdessä mahdollistaa kehyksen poistaa oman sandbox:insa, jos se on sama alkuperä — vältä tätä yhdistelmää epäluotettavalle sisällölle.
<iframe
referrerpolicy="no-referrer"
allow="camera 'none'; geolocation 'none'"
></iframe>
Iframe:t upottavat kolmansien osapuolten tai käyttäjien luomaa sisältöä, jota et hallitse eivätkä täysin luota. sandbox (kieltäminen oletuksena, salli vain mitä tarvitaan) yhdessä referrerpolicy/allow kanssa mahdollistaa sisällön sisältämisen — estää haitallisten skriptien suorittamisen, sivun navigoinnin tai laiteominaisuuksien käytön.
Lisää title saavutettavuuden vuoksi ja loading="lazy" suorituskyvyn vuoksi.