Atributo sandbox de iframe
O que é Atributo sandbox de iframe?
Atributo sandbox de iframeAtributo HTML que aplica restricoes extras ao conteudo de um iframe, bloqueando scripts, formularios, navegacao e acesso same-origin a menos que sejam reativados.
O atributo sandbox num <iframe> aplica uma politica de menor privilegio ao conteudo embutido. Por defeito desativa scripts, plugins, envio de formularios, navegacao do top, popups, pointer-lock e trata o frame como uma origem opaca unica, sem partilha de cookies ou storage com o pai. Capacidades sao reativadas uma a uma via tokens como allow-scripts, allow-same-origin, allow-forms e allow-popups. E uma mitigacao essencial quando se embute widgets de terceiros, conteudo de utilizador nao confiavel, anuncios ou previews de rich-text. Combinar allow-scripts e allow-same-origin anula o isolamento.
● Exemplos
- 01
<iframe src="/preview" sandbox="allow-scripts"></iframe> para renderizar HTML nao confiavel.
- 02
Embutir um widget de terceiros com sandbox="" para negar todas as capacidades.
● Perguntas frequentes
O que é Atributo sandbox de iframe?
Atributo HTML que aplica restricoes extras ao conteudo de um iframe, bloqueando scripts, formularios, navegacao e acesso same-origin a menos que sejam reativados. Pertence à categoria Segurança de aplicações da cibersegurança.
O que significa Atributo sandbox de iframe?
Atributo HTML que aplica restricoes extras ao conteudo de um iframe, bloqueando scripts, formularios, navegacao e acesso same-origin a menos que sejam reativados.
Como funciona Atributo sandbox de iframe?
O atributo sandbox num <iframe> aplica uma politica de menor privilegio ao conteudo embutido. Por defeito desativa scripts, plugins, envio de formularios, navegacao do top, popups, pointer-lock e trata o frame como uma origem opaca unica, sem partilha de cookies ou storage com o pai. Capacidades sao reativadas uma a uma via tokens como allow-scripts, allow-same-origin, allow-forms e allow-popups. E uma mitigacao essencial quando se embute widgets de terceiros, conteudo de utilizador nao confiavel, anuncios ou previews de rich-text. Combinar allow-scripts e allow-same-origin anula o isolamento.
Como se defender contra Atributo sandbox de iframe?
As defesas contra Atributo sandbox de iframe costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
● Termos relacionados
- appsec№ 960
Politica de mesma origem (SOP)
Regra de seguranca do navegador que restringe como um documento ou script carregado de uma origem pode interagir com recursos de outra origem.
- appsec№ 214
Política de Segurança de Conteúdo (CSP)
Cabeçalho HTTP que informa ao navegador quais origens de scripts, estilos, frames e outros conteúdos são permitidas, limitando o impacto de XSS e injeções de dados.
- attacks№ 180
Clickjacking
Ataque de "UI redress" que engana o utilizador para clicar em algo diferente do que percebe, sobrepondo ou ocultando uma página-alvo dentro de uma página controlada pelo atacante.
- attacks№ 240
Cross-Site Scripting (XSS)
Vulnerabilidade web que permite a um atacante injetar scripts maliciosos em páginas visitadas por outros utilizadores, executados no browser da vítima sob a origem do site.
- appsec№ 1179
Trusted Types
API do navegador e diretiva CSP que evita XSS baseado em DOM exigindo que sinks perigosos recebam valores tipados, validados por politica, em vez de strings cruas.
- appsec№ 496
Cabeçalhos de segurança HTTP
Cabeçalhos de resposta que instruem o navegador a aplicar comportamentos defensivos: HTTPS obrigatório, restrições de framing, políticas de conteúdo e controle de referrer.