Attribut sandbox d'iframe
Qu'est-ce que Attribut sandbox d'iframe ?
Attribut sandbox d'iframeAttribut HTML qui applique des restrictions supplementaires au contenu d'un iframe, bloquant scripts, formulaires, navigation et acces same-origin sauf reactivation explicite.
L'attribut sandbox sur un <iframe> applique une politique de moindre privilege au contenu embarque. Par defaut, il desactive scripts, plugins, envoi de formulaires, navigation top-level, popups, pointer-lock et traite le cadre comme une origine opaque unique sans partage de cookies ni de stockage avec le parent. Les capacites se reactivent une a une via des tokens comme allow-scripts, allow-same-origin, allow-forms, allow-popups. C'est une mitigation cle lorsqu'on embarque widgets tiers, contenu utilisateur non fiable, publicites ou previsualisations de rich-text. Activer en meme temps allow-scripts et allow-same-origin annule la protection.
● Exemples
- 01
<iframe src="/preview" sandbox="allow-scripts"></iframe> pour rendre du HTML non fiable.
- 02
Embarquer un widget tiers avec sandbox="" pour refuser toute capacite.
● Questions fréquentes
Qu'est-ce que Attribut sandbox d'iframe ?
Attribut HTML qui applique des restrictions supplementaires au contenu d'un iframe, bloquant scripts, formulaires, navigation et acces same-origin sauf reactivation explicite. Cette notion relève de la catégorie Sécurité applicative en cybersécurité.
Que signifie Attribut sandbox d'iframe ?
Attribut HTML qui applique des restrictions supplementaires au contenu d'un iframe, bloquant scripts, formulaires, navigation et acces same-origin sauf reactivation explicite.
Comment se défendre contre Attribut sandbox d'iframe ?
Les défenses contre Attribut sandbox d'iframe combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.