Атрибут sandbox у iframe
Что такое Атрибут sandbox у iframe?
Атрибут sandbox у iframeHTML-атрибут, накладывающий дополнительные ограничения на содержимое iframe: блокирует скрипты, формы, навигацию и доступ same-origin, пока их явно не разрешат.
Атрибут sandbox у <iframe> применяет принцип наименьших привилегий к встроенному содержимому. По умолчанию отключаются скрипты, плагины, отправка форм, навигация верхнего уровня, всплывающие окна и захват указателя; фрейм рассматривается как уникальный непрозрачный источник и не разделяет cookie и хранилище с родительской страницей. Возможности возвращаются токенами allow-scripts, allow-same-origin, allow-forms, allow-popups и так далее. Это ключевая мера при встраивании сторонних виджетов, недоверенного пользовательского контента, рекламы и предпросмотра текста. Одновременное включение allow-scripts и allow-same-origin фактически отменяет песочницу.
● Примеры
- 01
<iframe src="/preview" sandbox="allow-scripts"></iframe> для безопасного рендеринга недоверенного HTML.
- 02
Встраивание стороннего виджета с sandbox="" для запрета всех возможностей.
● Частые вопросы
Что такое Атрибут sandbox у iframe?
HTML-атрибут, накладывающий дополнительные ограничения на содержимое iframe: блокирует скрипты, формы, навигацию и доступ same-origin, пока их явно не разрешат. Относится к категории Безопасность приложений в кибербезопасности.
Что означает Атрибут sandbox у iframe?
HTML-атрибут, накладывающий дополнительные ограничения на содержимое iframe: блокирует скрипты, формы, навигацию и доступ same-origin, пока их явно не разрешат.
Как работает Атрибут sandbox у iframe?
Атрибут sandbox у <iframe> применяет принцип наименьших привилегий к встроенному содержимому. По умолчанию отключаются скрипты, плагины, отправка форм, навигация верхнего уровня, всплывающие окна и захват указателя; фрейм рассматривается как уникальный непрозрачный источник и не разделяет cookie и хранилище с родительской страницей. Возможности возвращаются токенами allow-scripts, allow-same-origin, allow-forms, allow-popups и так далее. Это ключевая мера при встраивании сторонних виджетов, недоверенного пользовательского контента, рекламы и предпросмотра текста. Одновременное включение allow-scripts и allow-same-origin фактически отменяет песочницу.
Как защититься от Атрибут sandbox у iframe?
Защита от Атрибут sandbox у iframe обычно сочетает технические меры и операционные практики, как описано в определении выше.
● Связанные термины
- appsec№ 960
Политика одного источника (SOP)
Правило безопасности браузера, ограничивающее взаимодействие документа или скрипта одного источника с ресурсами другого источника.
- appsec№ 214
Политика безопасности контента (CSP)
HTTP-заголовок ответа, указывающий браузеру, какие источники скриптов, стилей, фреймов и других ресурсов допустимы, что снижает последствия XSS и инъекций данных.
- attacks№ 180
Кликджекинг (Clickjacking)
UI-redress-атака, при которой пользователя обманом заставляют кликнуть не по тому, что он видит, накладывая или скрывая целевую страницу внутри страницы атакующего.
- attacks№ 240
Межсайтовый скриптинг (XSS)
Веб-уязвимость, позволяющая злоумышленнику внедрять вредоносные скрипты на страницы, просматриваемые другими пользователями, и выполнять их в браузере жертвы под источником сайта.
- appsec№ 1179
Trusted Types
Браузерный API и CSP-директива, предотвращающие DOM-XSS: опасные DOM-приёмники принимают только типизированные значения, прошедшие политику, вместо строк.
- appsec№ 496
HTTP-заголовки безопасности
Заголовки ответа, инструктирующие браузер применять защитные меры: только HTTPS, ограничения встраивания, политики контента, контроль referrer.