Een <iframe> embed een ander HTML-document in je pagina (een kaart, video, betalingswidget of niet-vertrouwde gebruikersinhoud). Omdat de ingebedde pagina zijn eigen scripts kan uitvoeren, is het sandbox-attribuut essentieel voor veilig embedding.
sandbox zonder waarde past maximale beperkingen toe: geen scripts, geen formulieren, geen popups, behandelt de inhoud als een unieke oorsprong. Je schakelt selectief mogelijkheden in door tokens op te sommen:
<iframe sandbox></iframe> <!-- locked down: scripts disabled, etc. -->
<iframe sandbox="allow-scripts allow-forms allow-popups"></iframe>
Veelgebruikte tokens:
allow-scripts — laat het JavaScript uitvoeren.allow-forms — laat het formulieren indienen.allow-same-origin — behoud de oorsprong (zonder dit is het een null-oorsprong, wat opslag/cookies blokkeert).allow-popups, allow-modals, allow-top-navigation.Beveiligingsnoot: het combineren van allow-scripts en allow-same-origin laat het frame zijn eigen sandbox verwijderen als het dezelfde oorsprong heeft — vermijd deze combinatie voor niet-vertrouwde inhoud.
<iframe
referrerpolicy="no-referrer"
allow="camera 'none'; geolocation 'none'"
></iframe>
Iframes betten third-party of door gebruikers gegenereerde inhoud in die je niet controleert en niet volledig vertrouwt. sandbox (standaard weigeren, alleen wat nodig is toestaan) plus referrerpolicy/allow laat je die inhoud beperken — voorkomt dat het ongewenste scripts uitvoert, je pagina navigeert of apparaatfuncties benadering.
Voeg title toe voor toegankelijkheid en loading="lazy" voor prestaties.