Тег <iframe> Атрибут <sandbox>
Атрибут sandbox позволяет установить ряд ограничений на контент загружаемый во фрейме, к примеру, блокировать формы и скрипты.
Это позволяет повысить безопасность текущего документа, особенно в том случае, когда во фрейм загружается документ из непроверенного источника.
| IExplorer | Chrome | Opera | Safari | Firefox | Android | iOS |
| 10.0+ | 4.0+ | 15.0+ | 5.0+ | 17.0+ | 2.2 | X |
| HTML: | 3.2 | 4.01 | 5.0 |
| XHTML: | 1.0 | 1.1 |
<iframe src="URL" sandbox="allow-same-origin || allow-top-navigation || allow-forms || allow-scripts">
...
</iframe>allow-same-origin - Разрешает загружать содержание фрейма, воспринимая его из того же источника, что и родительский документ. Может использоваться для безопасного открытия контента, блокируя при этом всплывающие окна.
allow-top-navigation - Позволяет открывать ссылки фрейма в родительском документе.
allow-forms - Позволяет содержимому фрейма отправлять формы.
allow-scripts - Разрешает запуск и выполнение скриптов. Создание всплывающих окон при этом запрещено.
Допустимо писать несколько значений в любом порядке через пробел. Если указано пустое значение, то устанавливаются все возможные ограничения.
При одновременном использовании значений allow-scripts и allow-same-origin, когда исходный и загружаемый документ одного происхождения, атрибут sandbox игнорируется.
Нет
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title>Тег iframe, атрибут sandbox</title>
</head>
<body>
<iframe src="hello.html" sandbox></iframe>
</body>
</html>В данном примере во фрейме открывается документ, который через скрипт выводит сообщение. Добавление атрибута sandbox блокирует действие скрипта.