<iframe> inahifadhi hati nyingine ya HTML ndani ya ukurasa wako (ramani, video, kigadgetia cha malipo, au maudhui yaliyotengenezwa na mtumiaji usiotakatifu). Kwa sababu ukurasa uliohifadhiwa unaweza kueneza skriptizake mwenyewe, sifa ya sandbox ni muhimu kwa kuihifadhi kwa usalama.
sandbox bila thamani inatumia vizuizi vya juu zaidi: hakuna skripti, hakuna fomu, hakuna madirisha yanayokaa, inachukulia maudhui kama asili ya kipekee. Kisha unaweza kuzima upya kwa uchaguzi uwezo kwa kuorodhesha alama:
<iframe sandbox></iframe> <!-- locked down: scripts disabled, etc. -->
<iframe sandbox="allow-scripts allow-forms allow-popups"></iframe>
Alama za kawaida:
allow-scripts — ruhusu iendeze JavaScript.allow-forms — ruhusu itume fomu.allow-same-origin — tengeneza asili yake (bila hii ni asili ya null, kupiga marufuku kuhifadhi/cookies).allow-popups, allow-modals, allow-top-navigation.Onyo wa usalama: kuchanganya allow-scripts na allow-same-origin kunruhusu fremu kuondoa sandbox yake mwenyewe kama ni asili sawa — epuka mchanganyo huu kwa maudhui yasiyotakatifu.
<iframe
referrerpolicy="no-referrer"
allow="camera 'none'; geolocation 'none'"
></iframe>
Iframe zinageuza maudhui ya wahusika wengine au yaliyotengenezwa na mtumiaji ambayo huanzi na haupaswi kuaminia kabisa. sandbox (kataa kwa chaguo-msingi, ruhusu tu kinachohitajika) pamoja na referrerpolicy/allow kunruhusu kumhuza maudhui hayo — kuipiga marufuku kueneza skripti zisizomawaida, kunavigeti kwenye ukurasa wako, au kufikia vipengee vya kifaa.
Ongeza title kwa upatikanaji na loading="lazy" kwa utendaji.