Satu <iframe> membenamkan dokumen HTML lain di dalam halaman anda (peta, video, widget pembayaran, atau konten pengguna yang tidak dipercaya). Kerana halaman yang disematkan boleh menjalankan skrip sendirinya, atribut sandbox adalah kunci untuk membenamkannya dengan selamat.
sandbox tanpa nilai apa pun menerapkan maksimum sekatan: tiada skrip, tiada borang, tiada pop-up, memperlakukan konten sebagai asal yang unik. Anda kemudian membolehkan semula keupayaan dengan menyenaraikan token:
<iframe sandbox></iframe> <!-- locked down: scripts disabled, etc. -->
<iframe sandbox="allow-scripts allow-forms allow-popups"></iframe>
Token biasa:
allow-scripts — biarkan ia menjalankan JavaScript.allow-forms — biarkan ia menyerahkan borang.allow-same-origin — simpan asalnya (tanpanya ialah asal nol, menyekat storan/kuki).allow-popups, allow-modals, allow-top-navigation.Nota keselamatan: menggabungkan allow-scripts dan allow-same-origin membenarkan bingkai untuk menghapus pasir sendirinya jika ia berasal dari asal yang sama — hindari gabungan ini untuk konten yang tidak dipercaya.
<iframe
referrerpolicy="no-referrer"
allow="camera 'none'; geolocation 'none'"
></iframe>
Iframe membenamkan konten pihak ketiga atau yang dijana pengguna yang anda tidak kawal dan tidak seharusnya mempercayai sepenuhnya. sandbox (tolak-secara-lalai, benarkan hanya apa yang diperlukan) ditambah referrerpolicy/allow membolehkan anda mengandungi konten itu — mencegah ia menjalankan skrip yang tidak diingini, menavigasi halaman anda, atau mengakses ciri peranti.
Tambahkan title untuk kebolehcapaian dan loading="lazy" untuk prestasi.