<iframe> bäddar in ett annat HTML-dokument på din sida (en karta, video, betalningswidget eller användargenerat innehål som inte är betrott). Eftersom den inbäddade sidan kan köra sina egna skript är sandbox-attributet nyckeln till att bädda in det säkert.
sandbox utan värde tillämpar maximala begränsningar: inga skript, inga formulär, inga popup-fönster, behandlar innehållet som ett unikt ursprung. Du kan sedan selektivt återaktivera funktioner genom att ange tokens:
<iframe sandbox></iframe> <!-- locked down: scripts disabled, etc. -->
<iframe sandbox="allow-scripts allow-forms allow-popups"></iframe>
Vanliga tokens:
allow-scripts — låt den köra JavaScript.allow-forms — låt den skicka formulär.allow-same-origin — behåll dess ursprung (utan detta är det ett null-ursprung, vilket blockerar lagring/cookies).allow-popups, allow-modals, allow-top-navigation.Säkerhetsmärkning: kombinationen av allow-scripts och allow-same-origin låter ramen ta bort sin egen sandbox om den är samma ursprung — undvik denna kombination för innehål som inte är betrott.
<iframe
referrerpolicy="no-referrer"
allow="camera 'none'; geolocation 'none'"
></iframe>
Iframe-element bäddar in innehål från tredje part eller användargenerat innehål som du inte kontrollerar och inte helt bör lita på. sandbox (neka per standard, tillåt bara det som behövs) tillsammans med referrerpolicy/allow låter dig begränsa det innehållet — förhindar det från att köra oönskade skript, navigera på din sida eller komma åt enhetsfunktioner.
Lägg till title för tillgänglighet och loading="lazy" för prestanda.