<iframe> përfshin një dokument HTML tjetër brenda faqes tuaj (hartë, video, widget pagese ose përmbajtje përdoruesi të pavërtuar). Meqenëse faqja e përfshirë mund të ekzekutojë skriptet e saj, atributi sandbox është çelës për ta përfshirë atë me siguri.
sandbox pa vlerë aplikon kufizime maksimale: pa skripte, pa forma, pa dritare popup, përmbajtja trajtohet si origjine unike. Më pas riaktivizoni në mënyrë selektive aftësitë duke renditur token-et:
<iframe sandbox></iframe> <!-- locked down: scripts disabled, etc. -->
<iframe sandbox="allow-scripts allow-forms allow-popups"></iframe>
Token-et e zakonshëm:
allow-scripts — lejo ekzekutimin e JavaScript.allow-forms — lejo dërgimin e formave.allow-same-origin — ruaj origjinën e saj (pa këtë është origjine null, e cila bllokon ruajtjen/cookies).allow-popups, allow-modals, allow-top-navigation.Shënim sigurie: kombinimi allow-scripts dhe allow-same-origin e lejon kornizën të heqë sandbox-in e vet nëse është e po origjine — shmangni atë kombinim për përmbajtjen e pavërtuar.
<iframe
referrerpolicy="no-referrer"
allow="camera 'none'; geolocation 'none'"
></iframe>
Iframe-et përfshijnë përmbajtje të palëve të treta ose të gjeneruar nga përdoruesi që nuk kontrolloni dhe nuk duhet të besoni plotësisht. sandbox (mohuese sipas paracaktimit, lejo vetëm atë që nevojitet) plus referrerpolicy/allow ju lejon të përfshini atë përmbajtje — duke parandaluar që ajo të ekzekutojë skripte të padëshiruara, të navigojë në faqen tuaj ose të aksesojë karakteristikat e pajisjes.
Shto title për aksesibilitet dhe loading="lazy" për performancë.