Leabhaíonn <iframe> doiciméad HTML eile i do leathach (léarscáil, físeán, giuirléid íocaíochta, nó ábhar úsáideora nach bhfuil iontaoibh ann). Toisc gur féidir leis an leathanach leabaithe a chuid script féin a rith, is eochair an sandbox é chun é a leabú go sábháilte.
<iframe
src="https://example.com/widget"
sandbox="allow-scripts allow-same-origin"
loading="lazy"
title="Embedded widget"
width="600" height="400"
></iframe>
Conas a oibríonn sandbox
sandbox gan luach cuireann sé fionraí uasta i bhfeidhm: gan scripta, gan fhoirmeacha, gan popups, déileálann sé le hábhar mar bhunús ar leith. Ansin athchumasaítear go roghnach cumais trí tokens a thiomsú:
<iframe sandbox></iframe> <!-- locked down: scripts disabled, etc. -->
<iframe sandbox="allow-scripts allow-forms allow-popups"></iframe>
Tokens coitianta:
allow-scripts— ligean dó JavaScript a rith.allow-forms— ligean dó foirmeacha a chur isteach.allow-same-origin— coinnigh a bhunús (gan seo is null-origin a bhíonn ann, ag bac stóráil/fianáin).allow-popups,allow-modals,allow-top-navigation.
Nóta slándála: comhcheangal allow-scripts agus allow-same-origin ligean don fhráma a sandbox féin a bhaint (má tá sé same-origin) — seachain an teaglaim sin do ábhar nach bhfuil iontaoibh ann.
Tréithe slándála eile
<iframe
referrerpolicy="no-referrer"
allow="camera 'none'; geolocation 'none'"
></iframe>
Cén fáth a bhfuil sé tábhachtach
Leabhaíonn iframes ábhar tríú páirtí nó ábhar a ghin úsáideoir nach bhfuil tú a rialú agus nach gcóir duit muinín iomlán a bheith agat ann. sandbox (diúltú de réir réamhshocrú, ceadú ar an rud is gá) agus referrerpolicy/allow tugann siad deis duit an t-ábhar sin a shrian — ag cosc air scripta nach bhfuil ag teastáil a rith, do leathanach a nascleanadh, nó rochtain a dhéanamh ar ghné an ghléis.
Cuir title leis do inrochtaineachta agus loading="lazy" don fheidhmíochta.