Um <iframe> incorpora outro documento HTML em sua página (um mapa, vídeo, widget de pagamento ou conteúdo de usuário não confiável). Como a página incorporada pode executar seus próprios scripts, o atributo sandbox é fundamental para incorporá-lo com segurança.
sandbox sem valor aplica restrições máximas: sem scripts, sem formulários, sem popups, trata o conteúdo como uma origem única. Você então reativa seletivamente recursos listando tokens:
<iframe sandbox></iframe> <!-- locked down: scripts disabled, etc. -->
<iframe sandbox="allow-scripts allow-forms allow-popups"></iframe>
Tokens comuns:
allow-scripts — deixe-o executar JavaScript.allow-forms — deixe-o enviar formulários.allow-same-origin — mantenha sua origem (sem isso é uma origem nula, bloqueando armazenamento/cookies).allow-popups, allow-modals, allow-top-navigation.Nota de segurança: combinar allow-scripts e allow-same-origin permite que o frame remova seu próprio sandbox se for da mesma origem — evite essa combinação para conteúdo não confiável.
<iframe
referrerpolicy="no-referrer"
allow="camera 'none'; geolocation 'none'"
></iframe>
Iframes incorporam conteúdo de terceiros ou gerado por usuários que você não controla e não deveria confiar completamente. sandbox (negar por padrão, permitir apenas o necessário) mais referrerpolicy/allow permite que você contenha esse conteúdo — impedindo que ele execute scripts indesejados, navegue em sua página ou acesse recursos do dispositivo.
Adicione title para acessibilidade e loading="lazy" para desempenho.