<iframe>, sayfanızın içinde başka bir HTML belgesini yerleştirir (harita, video, ödeme widget'ı veya güvenilmeyen kullanıcı içeriği). Gömülü sayfa kendi betiklerini çalıştırabileceği için, sandbox özniteliği bunu güvenli bir şekilde yerleştirmek için anahtardır.
sandbox değeri olmadan maksimum kısıtlamaları uygular: betik yok, form yok, açılır pencere yok, içeriği benzersiz bir kaynak olarak değerlendirir. Daha sonra seçici olarak yeniden etkinleştirebilirsiniz belirteçleri listeleyerek yeteneği:
<iframe sandbox></iframe> <!-- locked down: scripts disabled, etc. -->
<iframe sandbox="allow-scripts allow-forms allow-popups"></iframe>
Yaygın belirteçler:
allow-scripts — JavaScript çalıştırmasına izin verin.allow-forms — form göndermeye izin verin.allow-same-origin — kaynağını koru (bunu olmadan null kaynaktır, depolama/çerezleri engeller).allow-popups, allow-modals, allow-top-navigation.Güvenlik notu: allow-scripts ve allow-same-origin'i birleştirmek, kare kendi sandbox'ını kaldırmasına izin verir (aynı kaynaksa) — güvenilmeyen içerik için bu kombinasyondan kaçının.
<iframe
referrerpolicy="no-referrer"
allow="camera 'none'; geolocation 'none'"
></iframe>
Iframe'ler, kontrol etmediğiniz ve tamamen güvenmemeniz gereken üçüncü taraf veya kullanıcı tarafından oluşturulan içeriği yerleştirir. sandbox (varsayılan olarak reddet, yalnızca gerekli olanları izin ver) artı referrerpolicy/allow bu içeriği kısıtlamanıza olanak sağlar — istenmeyen betikler çalıştırmasını, sayfanızda gezinmesini veya cihaz özelliklerine erişmesini engeller.
Erişilebilirlik için title ve performans için loading="lazy" ekleyin.