Un <iframe> încorporează un alt document HTML în pagina dvs. (o hartă, video, widget de plată sau conținut de utilizator de neîncredere). Deoarece pagina încorporată poate rula propriile scripturi, atributul sandbox este cheia pentru a o încorpora în siguranță.
sandbox fără valoare aplică restricții maxime: fără scripturi, fără formulare, fără popupuri, tratează conținutul ca o origine unică. Apoi reactivați selectiv capacități prin listarea tokenilor:
<iframe sandbox></iframe> <!-- locked down: scripts disabled, etc. -->
<iframe sandbox="allow-scripts allow-forms allow-popups"></iframe>
Tokeni comuni:
allow-scripts — permiteți-i să execute JavaScript.allow-forms — permiteți-i să trimită formulare.allow-same-origin — păstrați originea sa (fără aceasta este o origine nulă, blocând stocarea/cookie-urile).allow-popups, allow-modals, allow-top-navigation.Notă de securitate: combinarea allow-scripts și allow-same-origin permite cadrului să-și elimine propriul sandbox dacă este de aceeași origine — evitați această combinație pentru conținut de neîncredere.
<iframe
referrerpolicy="no-referrer"
allow="camera 'none'; geolocation 'none'"
></iframe>
Iframeurile încorporează conținut terț sau generat de utilizatori pe care nu îl controlați și nu ar trebui să aveți încredere deplină în el. sandbox (refuză implicit, permite doar ceea ce este necesar) plus referrerpolicy/allow vă permite să conținuți acel conținut — prevenind executarea scripturilor nedorite, navigarea paginii dvs. sau accesul la funcțiile dispozitivului.
Adăugați title pentru accesibilitate și loading="lazy" pentru performanță.