<iframe> სხვა HTML დოკუმენტს ჩასვამს თქვენი გვერდის შიგნით (რუკა, ვიდეო, გადახდის ვიჯეტი ან არასანდო მომხმარებლის კონტენტი). ვინაიდან ჩასმული გვერდი შეიძლება გაშვას საკუთარი სკრიპტები, sandbox ატრიბუტი აუცილებელია მისი უსაფრთხოდ ჩასმისთვის.
<iframe> სხვა HTML დოკუმენტს ჩასვამს თქვენი გვერდის შიგნით (რუკა, ვიდეო, გადახდის ვიჯეტი ან არასანდო მომხმარებლის კონტენტი). ვინაიდან ჩასმული გვერდი შეიძლება გაშვას საკუთარი სკრიპტები, sandbox ატრიბუტი აუცილებელია მისი უსაფრთხოდ ჩასმისთვის.
sandbox ערך-ის გარეშე გამოიყენება მაქსიმალური შეზღუდვა: არ არის სკრიპტი, არ არის ფორმა, არ არის პოპ-აპები, კონტენტი მკურნალობს უნიკალური წყაროდ. შემდეგ ხელმისაწვდომი ხელმისაწვდომელს კვლავ აქტივირებთ ტოკენების ჩამოთვლით:
<iframe sandbox></iframe> <!-- locked down: scripts disabled, etc. -->
<iframe sandbox="allow-scripts allow-forms allow-popups"></iframe>
ჩვეულებრივი ტოკენები:
allow-scripts — ნება მისცეს JavaScript-ის გაშვებას.allow-forms — ნება მისცეს ფორმების გაგზავნას.allow-same-origin — შეინახოს მისი წყარო (ამის გარეშე ეს არის null წყარო, რომელიც აკრძალავს შენახვას/cookies-ს).allow-popups, allow-modals, allow-top-navigation.უსაფრთხოების შენიშვნა: allow-scripts და allow-same-origin-ის გაერთიანება იძლევა ფრეიმს თავის sandbox-ის მოხსნის საშუალებას, თუ ის same-origin-ია — დაიკავშირეთ ეს კომბინაცია არასანდო კონტენტისთვის.
<iframe
referrerpolicy="no-referrer"
allow="camera 'none'; geolocation 'none'"
></iframe>
iFrame-ები ჩასვამენ მესამე მხარის ან მომხმარებლის მიერ გენერირებულ კონტენტს, რომელზეც თქვენ არ გაქვთ კონტროლი და სრულად არ უნდა მორჩილდეთ. sandbox (უარყო-საწყო, დაიშვან მხოლოდ რაც საჭიროა) პლუს referrerpolicy/allow საშუალებას გაძლევთ შეიკავოთ ეს კონტენტი — აკრძალოთ არასასურველი სკრიპტების გაშვება, თქვენი გვერდის ნავიგაცია ან მოწყობილობის ფუნქციების ხელმისაწვდომობა.
ამატებული title ხელმისაწვდომობისთვის და loading="lazy" პერფორმანსისთვის.