Một <iframe> nhúng một tài liệu HTML khác vào trong trang của bạn (một bản đồ, video, widget thanh toán, hoặc nội dung do người dùng tạo không đáng tin). Vì trang được nhúng có thể chạy script riêng của nó, attribute sandbox là then chốt để nhúng nó một cách an toàn.
sandbox với không có giá trị áp dụng các hạn chế tối đa: không script, không form, không popup, đối xử với nội dung như một origin riêng biệt. Sau đó bạn bật lại có chọn lọc các khả năng bằng cách liệt kê các token:
<iframe sandbox></iframe> <!-- khóa chặt: script bị tắt, v.v. -->
<iframe sandbox="allow-scripts allow-forms allow-popups"></iframe>
Các token phổ biến:
allow-scripts — cho phép nó chạy JavaScript.allow-forms — cho phép nó submit form.allow-same-origin — giữ origin của nó (nếu không có cái này nó là một null origin, chặn storage/cookie).allow-popups, allow-modals, allow-top-navigation.Lưu ý bảo mật: kết hợp allow-scripts và allow-same-origin cho phép frame tự gỡ bỏ sandbox của chính nó nếu nó cùng origin — tránh kết hợp đó cho nội dung không đáng tin.
<iframe
referrerpolicy="no-referrer"
allow="camera 'none'; geolocation 'none'"
></iframe>
Iframe nhúng nội dung của bên thứ ba hoặc do người dùng tạo mà bạn không kiểm soát và không nên hoàn toàn tin tưởng. sandbox (từ chối mặc định, chỉ cho phép những gì cần thiết) cộng với referrerpolicy/allow cho phép bạn kiềm chế nội dung đó — ngăn nó chạy script không mong muốn, điều hướng trang của bạn, hoặc truy cập các tính năng thiết bị.
Thêm title cho accessibility và loading="lazy" cho hiệu năng.