<iframe> įterpia kitą HTML dokumentą į jūsų puslapį (žemėlapį, vaizdo įrašą, mokėjimo valdiklį ar nepatikimą vartotojo turinį). Kadangi įdėtas puslapis gali paleisti savo scenarijus, sandbox atributas yra svarbus norint jį įdėti saugiai.
html
<iframe> įterpia kitą HTML dokumentą į jūsų puslapį (žemėlapį, vaizdo įrašą, mokėjimo valdiklį ar nepatikimą vartotojo turinį). Kadangi įdėtas puslapis gali paleisti savo scenarijus, sandbox atributas yra svarbus norint jį įdėti saugiai.
sandbox be jokios reikšmės taikomos maksimalios apribojimai: nėra scenarijų, nėra formų, nėra iškylančiųjų langų, turinyje traktuojama kaip unikalus šaltinis. Tada iš naujo suaktyvinote galimybes išvardydami žetonus:
<iframe sandbox></iframe> <!-- locked down: scripts disabled, etc. -->
<iframe sandbox="allow-scripts allow-forms allow-popups"></iframe>
Bendrieji žetonai:
allow-scripts — leisti jį paleisti JavaScript.allow-forms — leisti jam pateikti formas.allow-same-origin — išsaugoti jo šaltinį (be to, jis yra nulis šaltinio, blokuojantis saugyklą/slapukus).allow-popups, allow-modals, allow-top-navigation.Saugumo pastaba: sujungus allow-scripts ir allow-same-origin, rėmas gali pašalinti savo sandbox, jei jis yra to paties šaltinio — išvengite šios kombinacijos nepatikimam turiniui.
<iframe
referrerpolicy="no-referrer"
allow="camera 'none'; geolocation 'none'"
></iframe>
Iframe įterpia trečiųjų šalių arba vartotojo sukurtą turinį, kurio jūs nekontroliuojate ir neturėtumėte visiškai pasitikėti. sandbox (atmesti pagal numatytuosius nustatymus, leisti tik tai, kas reikalinga) ir referrerpolicy/allow leidžia jums sugausti tą turinį — neleidžiant jam paleisti nenorėtų scenarijų, naršyti jūsų puslapį arba pasiekti įrenginio funkcijas.
Pridėkite title prieinama prieigai ir loading="lazy" našumui.