Siji <iframe> ngembed dokumen HTML liya ing jero kaca sampeyan (peta, video, widget pembayaran, utawa konten pengguna sing ora dipercaya). Amarga kaca sing diembed bisa mbukak script dhewe, atribut sandbox penting kanggo ngembed kanthi aman.
sandbox tanpa nilai apa pun nerapake maksimal restriksi: ora ana script, ora ana formula, ora ana pop-up, ngobati konten minangka asal unik. Banjur lumebor malih kemampuan kanthi nglisitake token:
<iframe sandbox></iframe> <!-- locked down: scripts disabled, etc. -->
<iframe sandbox="allow-scripts allow-forms allow-popups"></iframe>
Token umum:
allow-scripts — enteni run JavaScript.allow-forms — enteni ngirim formulir.allow-same-origin — mulyani asale (tanpa iki iku null origin, blokir storage/cookies).allow-popups, allow-modals, allow-top-navigation.Cathetan keamanan: ngopeni allow-scripts lan allow-same-origin enteni frame ngilangi sandbox dhewe yen iku same-origin — nyuda kombinasi iki kanggo konten sing ora dipercaya.
<iframe
referrerpolicy="no-referrer"
allow="camera 'none'; geolocation 'none'"
></iframe>
Iframe ngembed konten pihak katelu utawa sing dibuat pengguna sing ora sampeyan kontrol lan ora kudu dipercaya kanthi lengkap. sandbox (tolak-kanthi-default, ijini mung apa sing diperlukan) plus referrerpolicy/allow ngadani sampeyan kena konten iku — nyegah saka mbukak script sing ora pengin, navigasi kaca sampeyan, utawa akses fitur piranti.
Tambahai title kanggo aksesibilitas lan loading="lazy" kanggo kinerja.