Atributo sandbox de iframe
¿Qué es Atributo sandbox de iframe?
Atributo sandbox de iframeAtributo HTML que aplica restricciones adicionales al contenido de un iframe, bloqueando scripts, formularios, navegacion y acceso same-origin salvo que se reactiven explicitamente.
El atributo sandbox de <iframe> aplica una politica de minimo privilegio al contenido embebido. Por defecto desactiva scripts, plugins, envio de formularios, navegacion del top, popups, pointer-lock y trata el marco como un origen opaco unico que no comparte cookies ni almacenamiento con el padre. Las capacidades se reactivan una a una con tokens como allow-scripts, allow-same-origin, allow-forms o allow-popups. Es una mitigacion clave al incrustar widgets de terceros, contenido de usuario no confiable, anuncios o previsualizaciones de texto enriquecido. Combinar allow-scripts y allow-same-origin a la vez anula el aislamiento.
● Ejemplos
- 01
<iframe src="/preview" sandbox="allow-scripts"></iframe> para renderizar HTML no confiable.
- 02
Incrustar un widget de terceros con sandbox="" para negar todas las capacidades.
● Preguntas frecuentes
¿Qué es Atributo sandbox de iframe?
Atributo HTML que aplica restricciones adicionales al contenido de un iframe, bloqueando scripts, formularios, navegacion y acceso same-origin salvo que se reactiven explicitamente. Pertenece a la categoría de Seguridad de aplicaciones en ciberseguridad.
¿Qué significa Atributo sandbox de iframe?
Atributo HTML que aplica restricciones adicionales al contenido de un iframe, bloqueando scripts, formularios, navegacion y acceso same-origin salvo que se reactiven explicitamente.
¿Cómo funciona Atributo sandbox de iframe?
El atributo sandbox de <iframe> aplica una politica de minimo privilegio al contenido embebido. Por defecto desactiva scripts, plugins, envio de formularios, navegacion del top, popups, pointer-lock y trata el marco como un origen opaco unico que no comparte cookies ni almacenamiento con el padre. Las capacidades se reactivan una a una con tokens como allow-scripts, allow-same-origin, allow-forms o allow-popups. Es una mitigacion clave al incrustar widgets de terceros, contenido de usuario no confiable, anuncios o previsualizaciones de texto enriquecido. Combinar allow-scripts y allow-same-origin a la vez anula el aislamiento.
¿Cómo defenderse de Atributo sandbox de iframe?
Las defensas contra Atributo sandbox de iframe combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
● Términos relacionados
- appsec№ 960
Política del mismo origen (SOP)
Regla de seguridad del navegador que limita cómo un documento o script de un origen puede interactuar con recursos de otro origen distinto.
- appsec№ 214
Política de Seguridad de Contenidos (CSP)
Cabecera HTTP que indica al navegador qué orígenes de scripts, estilos, marcos y otros recursos están permitidos, limitando el impacto de XSS y de inyecciones de datos.
- attacks№ 180
Clickjacking
Ataque de "UI redress" que engaña al usuario para que pulse algo distinto de lo que percibe, superponiendo u ocultando una página objetivo dentro de otra controlada por el atacante.
- attacks№ 240
Cross-Site Scripting (XSS)
Vulnerabilidad web que permite a un atacante inyectar scripts maliciosos en páginas vistas por otros usuarios, ejecutándose en el navegador de la víctima bajo el origen del sitio.
- appsec№ 1179
Trusted Types
API del navegador y directiva CSP que previene el XSS basado en DOM exigiendo que los sumideros peligrosos reciban valores tipados y validados por una politica, no cadenas crudas.
- appsec№ 496
Cabeceras de seguridad HTTP
Cabeceras de respuesta que instruyen a los navegadores a aplicar comportamientos defensivos como HTTPS obligatorio, restricciones de marco, políticas de contenido y control de referer.