An <iframe> menyematkan dokumen HTML lain ke dalam halaman Anda (peta, video, widget pembayaran, atau konten pengguna yang tidak dipercaya). Karena halaman yang disematkan dapat menjalankan skrip sendiri, atribut sandbox adalah kunci untuk menyematkannya secara aman.
sandbox tanpa nilai menerapkan pembatasan maksimal: tidak ada skrip, tidak ada formulir, tidak ada pop-up, memperlakukan konten sebagai asal yang unik. Anda kemudian secara selektif mengaktifkan kembali kemampuan dengan mendaftar token:
<iframe sandbox></iframe> <!-- locked down: scripts disabled, etc. -->
<iframe sandbox="allow-scripts allow-forms allow-popups"></iframe>
Token umum:
allow-scripts — biarkan menjalankan JavaScript.allow-forms — biarkan mengirimkan formulir.allow-same-origin — pertahankan asal-usulnya (tanpa ini adalah asal null, memblokir penyimpanan/kuki).allow-popups, allow-modals, allow-top-navigation.Catatan keamanan: menggabungkan allow-scripts dan allow-same-origin memungkinkan frame menghapus sandbox-nya sendiri jika berasal dari sumber yang sama — hindari kombinasi tersebut untuk konten yang tidak dipercaya.
<iframe
referrerpolicy="no-referrer"
allow="camera 'none'; geolocation 'none'"
></iframe>
Iframe menyematkan konten pihak ketiga atau konten buatan pengguna yang tidak Anda kontrol dan tidak boleh sepenuhnya dipercaya. sandbox (tolak secara default, izinkan hanya yang diperlukan) ditambah referrerpolicy/allow memungkinkan Anda membatasi konten tersebut — mencegahnya menjalankan skrip yang tidak diinginkan, menavigasi halaman Anda, atau mengakses fitur perangkat.
Tambahkan title untuk aksesibilitas dan loading="lazy" untuk performa.