Атрибут sandbox у iframe
Что такое Атрибут sandbox у iframe?
Атрибут sandbox у iframeHTML-атрибут, накладывающий дополнительные ограничения на содержимое iframe: блокирует скрипты, формы, навигацию и доступ same-origin, пока их явно не разрешат.
Атрибут sandbox у <iframe> применяет принцип наименьших привилегий к встроенному содержимому. По умолчанию отключаются скрипты, плагины, отправка форм, навигация верхнего уровня, всплывающие окна и захват указателя; фрейм рассматривается как уникальный непрозрачный источник и не разделяет cookie и хранилище с родительской страницей. Возможности возвращаются токенами allow-scripts, allow-same-origin, allow-forms, allow-popups и так далее. Это ключевая мера при встраивании сторонних виджетов, недоверенного пользовательского контента, рекламы и предпросмотра текста. Одновременное включение allow-scripts и allow-same-origin фактически отменяет песочницу.
● Примеры
- 01
<iframe src="/preview" sandbox="allow-scripts"></iframe> для безопасного рендеринга недоверенного HTML.
- 02
Встраивание стороннего виджета с sandbox="" для запрета всех возможностей.
● Частые вопросы
Что такое Атрибут sandbox у iframe?
HTML-атрибут, накладывающий дополнительные ограничения на содержимое iframe: блокирует скрипты, формы, навигацию и доступ same-origin, пока их явно не разрешат. Относится к категории Безопасность приложений в кибербезопасности.
Что означает Атрибут sandbox у iframe?
HTML-атрибут, накладывающий дополнительные ограничения на содержимое iframe: блокирует скрипты, формы, навигацию и доступ same-origin, пока их явно не разрешат.
Как защититься от Атрибут sandbox у iframe?
Защита от Атрибут sandbox у iframe обычно сочетает технические меры и операционные практики, как описано в определении выше.