Az <iframe> egy másik HTML-dokumentumot ágyaz be az oldalba (térkép, videó, fizetési widget vagy nem megbízható felhasználói tartalom). Mivel a beágyazott oldal saját szkriptjeit futtathatja, a sandbox attribútum kulcsfontosságú ahhoz, hogy biztonságosan ágyazza be.
A sandbox érték nélküli formája maximális korlátozásokat alkalmaz: nincsenek szkriptek, nincsenek űrlapok, nincsenek felugró ablakok, az tartalmat egyedi forráskódként kezeli. Ezután szelektíven újra engedélyez képességeket a tokenek felsorolásával:
<iframe sandbox></iframe> <!-- locked down: scripts disabled, etc. -->
<iframe sandbox="allow-scripts allow-forms allow-popups"></iframe>
Gyakori tokenek:
allow-scripts — engedje meg a JavaScript futtatását.allow-forms — engedje meg az űrlapok beküldését.allow-same-origin — tartsa meg a forráskódját (enélkül null forráskód, amely blokkolja a tárolást/sütiket).allow-popups, allow-modals, allow-top-navigation.Biztonsági megjegyzés: a allow-scripts és a allow-same-origin kombinálása lehetővé teszi az iframe-nek, hogy eltávolítsa saját sandbox-ját, ha azonos forrásból származik — kerülje ezt a kombinációt nem megbízható tartalom esetén.
<iframe
referrerpolicy="no-referrer"
allow="camera 'none'; geolocation 'none'"
></iframe>
Az iframe-ek harmadik fél vagy felhasználó által létrehozott tartalmat ágyaznak be, amelyet nem irányítanak és nem kellene teljesen megbíznunk. A sandbox (alapértelmezés szerint tagadás, csak a szükséges engedélyezése) valamint a referrerpolicy/allow lehetővé teszi az adott tartalom korlátozását — megakadályozza a nemkívánatos szkriptek futtatását, az oldal navigálását vagy az eszközfunkciók elérését.
Adjon hozzá title az akadálymentesítés érdekében és loading="lazy" a teljesítmény érdekében.