html - HTML5 iframe 沙盒属性的值

Question

我一直在阅读 HTML5 的 sandbox <iframe> 的属性秒。根据文档 sandbox属性允许开发人员有选择地限制可以在 <iframe> 中执行的操作.沙箱属性纯粹是一种安全措施吗？ sandbox属性使 Web 设计人员能够实现任何新功能，如果可以，谁能指出任何示例？

Answer 1

好吧，它纯粹是一项安全功能，但它确实也允许新功能。以嵌入第三方(用户)内容(例如 HTML 文件)为例。传统上，您需要设置一个单独的域来提供该内容，但是现在您可以简单地从任何您想要的地方提供它，并将其视为来自单独的域。

最重要的是，它可以阻止此第三方内容执行某些您以前无法阻止的操作，例如:

• allow-top-navigation: 防止跳出
• allow-pointer-lock:防止它劫持光标
• allow-popups: 防止它通过弹窗爆发
• allow-scripts:简单地阻止所有脚本(也可以通过 CSP 完成)

实际上，sandbox 属性与受控 CSP header 的组合提供了令人难以置信的控制量，可以在安全环境中运行第三方代码。目前还不是 100%，但我们已经非常接近了。