iframe 属性 sandbox 用于在一个独立的 HTML iframe 中运行 web 内容,而不会对其它的网页产生影响。它可以设置一系列的规则,以防止 iframe 中加载的内容进行恶意操作或跨站点脚本攻击。
通过设置 sandbox 属性,可以将浏览器中加载的页面隔离开来,以达到安全目的,避免 iframe 中的恶意代码对整个页面造成破坏。同时,sandbox 属性也可以设置允许某些操作和限制其他操作,以控制 iframe 中内容的访问权限、网络请求、cookie、插件等。
常见的 sandbox 属性取值为:
- allow-forms:允许 iframe 中包含表单元素;
- allow-scripts:允许 iframe 中包含脚本;
- allow-same-origin:允许 iframe 和父页面同源;
- allow-popups:允许 iframe 弹出新窗口。
例如,设置 ,表示该 iframe 可以包含表单元素和脚本,但不允许该 iframe 跨域请求或访问父窗口的数据。
总之,sandbox 属性可以提供一个更为安全的环境运行 web 内容,减少恶意代码的攻击范围。