iframe sandbox 属性
iframe sandbox 属性 是什么?
iframe sandbox 属性HTML 属性,为 iframe 内容施加额外限制,默认禁用脚本、表单、导航与同源访问,除非显式重新启用。
<iframe> 的 sandbox 属性为嵌入内容应用最小权限策略。默认禁用脚本、插件、表单提交、顶层导航、弹窗、指针锁定,并将该框架视为唯一的不透明源,无法与父页共享 Cookie 或存储。需要恢复的能力可通过 allow-scripts、allow-same-origin、allow-forms、allow-popups 等令牌逐项开启。该属性是嵌入第三方组件、不可信用户内容、广告或富文本预览时的关键缓解措施。同时设置 allow-scripts 与 allow-same-origin 会实质上取消沙箱。
● 示例
- 01
<iframe src="/preview" sandbox="allow-scripts"></iframe> 用于安全渲染不可信的 HTML。
- 02
通过 sandbox="" 嵌入第三方组件,拒绝所有能力。
● 常见问题
iframe sandbox 属性 是什么?
HTML 属性,为 iframe 内容施加额外限制,默认禁用脚本、表单、导航与同源访问,除非显式重新启用。 它属于网络安全的 应用安全 分类。
iframe sandbox 属性 是什么意思?
HTML 属性,为 iframe 内容施加额外限制,默认禁用脚本、表单、导航与同源访问,除非显式重新启用。
iframe sandbox 属性 是如何工作的?
<iframe> 的 sandbox 属性为嵌入内容应用最小权限策略。默认禁用脚本、插件、表单提交、顶层导航、弹窗、指针锁定,并将该框架视为唯一的不透明源,无法与父页共享 Cookie 或存储。需要恢复的能力可通过 allow-scripts、allow-same-origin、allow-forms、allow-popups 等令牌逐项开启。该属性是嵌入第三方组件、不可信用户内容、广告或富文本预览时的关键缓解措施。同时设置 allow-scripts 与 allow-same-origin 会实质上取消沙箱。
如何防御 iframe sandbox 属性?
针对 iframe sandbox 属性 的防御通常结合技术控制与运营实践,详见上方完整定义。
● 相关术语
- appsec№ 960
同源策略 (SOP)
浏览器的安全规则,限制来自一个源的文档或脚本如何与来自不同源的资源交互。
- appsec№ 214
内容安全策略 (CSP)
一种 HTTP 响应头,告诉浏览器允许加载哪些来源的脚本、样式、框架等内容,从而限制 XSS 与数据注入攻击的影响。
- attacks№ 180
点击劫持 (Clickjacking)
通过把目标页面叠加或隐藏在攻击者控制的页面之内,诱导用户点击与所见不符的目标的 UI 欺骗攻击。
- attacks№ 240
跨站脚本(XSS)
一种 Web 漏洞,攻击者可在其他用户浏览的页面中注入恶意脚本,使其在受害者浏览器中以该站点的来源身份运行。
- appsec№ 1179
Trusted Types
浏览器 API 与 CSP 指令,要求危险的 DOM 接收器只能接受经策略审查的类型化值,从而防止基于 DOM 的 XSS。
- appsec№ 496
HTTP 安全响应头
指示浏览器执行强制 HTTPS、限制嵌入、内容策略和引用来源等防御行为的响应头集合。