iframe-sandbox-Attribut
Was ist iframe-sandbox-Attribut?
iframe-sandbox-AttributHTML-Attribut, das eingebettetem iframe-Inhalt zusatzliche Restriktionen auferlegt und Skripte, Formulare, Navigation und Same-Origin-Zugriff sperrt, sofern nicht explizit erlaubt.
Das Attribut sandbox am <iframe> erzwingt eine Least-Privilege-Policy fur den eingebetteten Inhalt. Standardmassig sind Skripte, Plugins, Formularversand, Top-Level-Navigation, Popups und Pointer-Lock deaktiviert; der Frame gilt als eindeutige opake Origin und kann weder Cookies noch Storage mit dem Parent teilen. Fahigkeiten werden gezielt per Token wie allow-scripts, allow-same-origin, allow-forms oder allow-popups reaktiviert. Sandboxing ist eine zentrale Massnahme beim Einbetten von Drittanbieter-Widgets, unzuverlassigem Nutzerinhalt, Anzeigen oder Rich-Text-Vorschauen. allow-scripts und allow-same-origin gemeinsam zu erlauben hebt die Sandbox praktisch auf.
● Beispiele
- 01
<iframe src="/preview" sandbox="allow-scripts"></iframe> zum sicheren Rendern unsicheren HTMLs.
- 02
Drittanbieter-Widget mit sandbox="" einbetten und alle Fahigkeiten verbieten.
● Häufige Fragen
Was ist iframe-sandbox-Attribut?
HTML-Attribut, das eingebettetem iframe-Inhalt zusatzliche Restriktionen auferlegt und Skripte, Formulare, Navigation und Same-Origin-Zugriff sperrt, sofern nicht explizit erlaubt. Es gehört zur Kategorie Anwendungssicherheit der Cybersicherheit.
Was bedeutet iframe-sandbox-Attribut?
HTML-Attribut, das eingebettetem iframe-Inhalt zusatzliche Restriktionen auferlegt und Skripte, Formulare, Navigation und Same-Origin-Zugriff sperrt, sofern nicht explizit erlaubt.
Wie funktioniert iframe-sandbox-Attribut?
Das Attribut sandbox am <iframe> erzwingt eine Least-Privilege-Policy fur den eingebetteten Inhalt. Standardmassig sind Skripte, Plugins, Formularversand, Top-Level-Navigation, Popups und Pointer-Lock deaktiviert; der Frame gilt als eindeutige opake Origin und kann weder Cookies noch Storage mit dem Parent teilen. Fahigkeiten werden gezielt per Token wie allow-scripts, allow-same-origin, allow-forms oder allow-popups reaktiviert. Sandboxing ist eine zentrale Massnahme beim Einbetten von Drittanbieter-Widgets, unzuverlassigem Nutzerinhalt, Anzeigen oder Rich-Text-Vorschauen. allow-scripts und allow-same-origin gemeinsam zu erlauben hebt die Sandbox praktisch auf.
Wie schützt man sich gegen iframe-sandbox-Attribut?
Schutzmaßnahmen gegen iframe-sandbox-Attribut kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
● Verwandte Begriffe
- appsec№ 960
Same-Origin Policy (SOP)
Browser-Sicherheitsregel, die einschrankt, wie ein Dokument oder Skript einer Origin mit Ressourcen einer anderen Origin interagieren darf.
- appsec№ 214
Content Security Policy (CSP)
HTTP-Antwort-Header, der dem Browser mitteilt, welche Quellen für Skripte, Styles, Frames und andere Inhalte erlaubt sind, und so XSS- und Datendiebstahlangriffe begrenzt.
- attacks№ 180
Clickjacking
UI-Redress-Angriff, der Nutzer dazu bringt, etwas anderes anzuklicken als sie wahrnehmen, indem eine Zielseite in einer Angreifer-Seite überlagert oder versteckt wird.
- attacks№ 240
Cross-Site-Scripting (XSS)
Web-Schwachstelle, mit der Angreifer bösartige Skripte in Seiten injizieren, die andere Nutzer öffnen, sodass der Code im Browser des Opfers unter der Origin der Seite ausgeführt wird.
- appsec№ 1179
Trusted Types
Browser-API und CSP-Direktive zur Verhinderung von DOM-basiertem XSS: gefahrliche DOM-Sinks akzeptieren nur typisierte, durch Policies gepruefte Werte statt roher Strings.
- appsec№ 496
HTTP-Sicherheitsheader
Antwort-Header, die den Browser zu defensivem Verhalten anweisen: HTTPS-Pflicht, Framing-Beschränkungen, Inhaltsrichtlinien und Referer-Kontrolle.
● Siehe auch
- № 693Sandbox fuer mobile Apps
- № 129Browser-Sandbox