En <iframe> legger inn et annet HTML-dokument i siden din (et kart, video, betalingswidget eller innhold fra en upålitelig bruker). Fordi den innebygde siden kan kjøre sine egne skript, er sandbox-attributtet nøkkelen til å legge den inn sikkert.
sandbox med ingen verdi bruker maksimale restriksjoner: ingen skript, ingen skjemaer, ingen popup-vinduer, behandler innholdet som et unikt opphav. Du reaktiverer deretter funksjoner ved å oppgi tokens:
<iframe sandbox></iframe> <!-- locked down: scripts disabled, etc. -->
<iframe sandbox="allow-scripts allow-forms allow-popups"></iframe>
Vanlige tokens:
allow-scripts — la den kjøre JavaScript.allow-forms — la den sende inn skjemaer.allow-same-origin — behold opphavsbetegnelsen (uten dette er det et null-opphav, som blokkerer lagring/informasjonskapsler).allow-popups, allow-modals, allow-top-navigation.Sikkerhetsmerknad: å kombinere allow-scripts og allow-same-origin lar rammen fjerne sin egen sandbox hvis den har samme opphav — unngå denne kombinasjonen for innhold du ikke stolar på.
<iframe
referrerpolicy="no-referrer"
allow="camera 'none'; geolocation 'none'"
></iframe>
Iframer legger inn tredjepartsinnhold eller innhold generert av brukere som du ikke kontrollerer og ikke burde stole fullt på. sandbox (nekt som standard, tillat bare det som trengs) pluss referrerpolicy/allow lar deg begrense innholdet — og forhindrer det fra å kjøre uønskede skript, navigere siden din eller få tilgang til enhetsfunksjoner.
Legg til title for tilgjengelighet og loading="lazy" for ytelse.