Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 577

iframe sandbox 属性

审核人Cybersecurity entrepreneur & security researcher

iframe sandbox 属性 是什么?

iframe sandbox 属性HTML 属性,为 iframe 内容施加额外限制,默认禁用脚本、表单、导航与同源访问,除非显式重新启用。


<iframe> 的 sandbox 属性为嵌入内容应用最小权限策略。默认禁用脚本、插件、表单提交、顶层导航、弹窗、指针锁定,并将该框架视为唯一的不透明源,无法与父页共享 Cookie 或存储。需要恢复的能力可通过 allow-scripts、allow-same-origin、allow-forms、allow-popups 等令牌逐项开启。该属性是嵌入第三方组件、不可信用户内容、广告或富文本预览时的关键缓解措施。同时设置 allow-scripts 与 allow-same-origin 会实质上取消沙箱。

示例

  1. 01

    <iframe src="/preview" sandbox="allow-scripts"></iframe> 用于安全渲染不可信的 HTML。

  2. 02

    通过 sandbox="" 嵌入第三方组件,拒绝所有能力。

常见问题

iframe sandbox 属性 是什么?

HTML 属性,为 iframe 内容施加额外限制,默认禁用脚本、表单、导航与同源访问,除非显式重新启用。 它属于网络安全的 应用安全 分类。

iframe sandbox 属性 是什么意思?

HTML 属性,为 iframe 内容施加额外限制,默认禁用脚本、表单、导航与同源访问,除非显式重新启用。

如何防御 iframe sandbox 属性?

针对 iframe sandbox 属性 的防御通常结合技术控制与运营实践,详见上方完整定义。

相关术语

另见