Attribut sandbox d'iframe
Qu'est-ce que Attribut sandbox d'iframe ?
Attribut sandbox d'iframeAttribut HTML qui applique des restrictions supplementaires au contenu d'un iframe, bloquant scripts, formulaires, navigation et acces same-origin sauf reactivation explicite.
L'attribut sandbox sur un <iframe> applique une politique de moindre privilege au contenu embarque. Par defaut, il desactive scripts, plugins, envoi de formulaires, navigation top-level, popups, pointer-lock et traite le cadre comme une origine opaque unique sans partage de cookies ni de stockage avec le parent. Les capacites se reactivent une a une via des tokens comme allow-scripts, allow-same-origin, allow-forms, allow-popups. C'est une mitigation cle lorsqu'on embarque widgets tiers, contenu utilisateur non fiable, publicites ou previsualisations de rich-text. Activer en meme temps allow-scripts et allow-same-origin annule la protection.
● Exemples
- 01
<iframe src="/preview" sandbox="allow-scripts"></iframe> pour rendre du HTML non fiable.
- 02
Embarquer un widget tiers avec sandbox="" pour refuser toute capacite.
● Questions fréquentes
Qu'est-ce que Attribut sandbox d'iframe ?
Attribut HTML qui applique des restrictions supplementaires au contenu d'un iframe, bloquant scripts, formulaires, navigation et acces same-origin sauf reactivation explicite. Cette notion relève de la catégorie Sécurité applicative en cybersécurité.
Que signifie Attribut sandbox d'iframe ?
Attribut HTML qui applique des restrictions supplementaires au contenu d'un iframe, bloquant scripts, formulaires, navigation et acces same-origin sauf reactivation explicite.
Comment fonctionne Attribut sandbox d'iframe ?
L'attribut sandbox sur un <iframe> applique une politique de moindre privilege au contenu embarque. Par defaut, il desactive scripts, plugins, envoi de formulaires, navigation top-level, popups, pointer-lock et traite le cadre comme une origine opaque unique sans partage de cookies ni de stockage avec le parent. Les capacites se reactivent une a une via des tokens comme allow-scripts, allow-same-origin, allow-forms, allow-popups. C'est une mitigation cle lorsqu'on embarque widgets tiers, contenu utilisateur non fiable, publicites ou previsualisations de rich-text. Activer en meme temps allow-scripts et allow-same-origin annule la protection.
Comment se défendre contre Attribut sandbox d'iframe ?
Les défenses contre Attribut sandbox d'iframe combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
● Termes liés
- appsec№ 960
Politique de même origine (SOP)
Regle de securite du navigateur qui restreint la maniere dont un document ou script charge depuis une origine peut interagir avec une ressource d'une autre origine.
- appsec№ 214
Politique de sécurité du contenu (CSP)
En-tête HTTP indiquant au navigateur quelles sources de scripts, styles, cadres et autres contenus sont autorisées, limitant l'impact des XSS et des injections de données.
- attacks№ 180
Clickjacking
Attaque "UI redress" qui pousse l'utilisateur à cliquer sur autre chose que ce qu'il croit voir, en superposant ou en cachant une page cible dans une page contrôlée par l'attaquant.
- attacks№ 240
Cross-Site Scripting (XSS)
Vulnérabilité web permettant à un attaquant d'injecter des scripts malveillants dans des pages consultées par d'autres utilisateurs, exécutés dans leur navigateur sous l'origine du site.
- appsec№ 1179
Trusted Types
API navigateur et directive CSP qui previent le XSS DOM en exigeant que les sinks dangereux recoivent des valeurs typees validees par une politique, et non des chaines brutes.
- appsec№ 496
En-têtes de sécurité HTTP
En-têtes de réponse demandant au navigateur d'appliquer des comportements défensifs : HTTPS strict, restriction de framing, politiques de contenu, contrôle du referer.