Element <iframe> vključi drugi HTML dokument v vašo stran (zemljevid, video, obračunski gradnik ali nezaupanja vredno uporabniško vsebino). Ker lahko vključena stran zaganja lastne skripte, je atribut sandbox ključen za varno vključevanje.
html
Element <iframe> vključi drugi HTML dokument v vašo stran (zemljevid, video, obračunski gradnik ali nezaupanja vredno uporabniško vsebino). Ker lahko vključena stran zaganja lastne skripte, je atribut sandbox ključen za varno vključevanje.
sandbox brez vrednosti uporabi maksimalne omejitve: brez skript, brez obrazcev, brez pojavnih oken, vsebino obravnava kot edinstveno izvor. Nato selektivno ponovno omogočite zmožnosti z naštevanjem žetonov:
<iframe sandbox></iframe> <!-- locked down: scripts disabled, etc. -->
<iframe sandbox="allow-scripts allow-forms allow-popups"></iframe>
Pogoste vrednosti žetonov:
allow-scripts — dovoli izvajanje JavaScripta.allow-forms — dovoli pošiljanje obrazcev.allow-same-origin — ohrani njen izvor (brez tega je null izvor, ki blokira shranjevanje/piškotke).allow-popups, allow-modals, allow-top-navigation.Varnostna opomba: kombinacija allow-scripts in allow-same-origin omogoči ogrodju, da odstrani lastno sandbox omejitev, če je istega izvora — izognite se tej kombinaciji za nezaupanja vredno vsebino.
<iframe
referrerpolicy="no-referrer"
allow="camera 'none'; geolocation 'none'"
></iframe>
Iframes vključujejo vsebino tretjih strani ali генерирано s strani uporabnika, ki je ne nadzorujete in je ne smete v celoti zaupati. sandbox (prepoved po privzeti nastavki, dovoli samo tisto, kar je potrebno) plus referrerpolicy/allow vam omogoči vsebino omejiti — preprečuje ji izvajanje nezaželenih skript, navigacijo po vaši strani ali dostop do funkcij naprave.
Dodajte title za dostopnost in loading="lazy" za zmogljivost.