iframe的sandbox使用

sandbox:限制iframe的权限,解决安全性问题。

定义

如果被规定为空字符串(sandbox=""),sandbox 属性将会启用一系列对行内框架中内容的额外限制。
sandbox 属性的值既可以是一个空字符串(应用所有的限制),也可以是空格分隔的预定义值列表(将移除特定的限制)。

用法

1. sandbox=""
  应用所有限制

2. sandbox="allow-same-origin"
  允许 iframe 内容被视为与包含文档有相同的来源。

3. sandbox="allow-top-navigation"
  允许 iframe 内容从包含文档导航(加载)内容。
  可用于禁用外部网站的JS跳转、target="_parent"、target="_top"等

4. sandbox="allow-forms"
  允许表单提交。

5. sandbox="allow-scripts"
  允许脚本执行,即允许iframe运行脚本(但不创建弹出窗口)。
  可用于禁用外部网站的JS

6. sandbox="allow-popups"
  允许弹出窗口(如window.open,target="_blank")。

5. sandbox="allow-scripts"
  允许弹出窗口逃离沙箱:允许一个沙箱文件打开新窗口不强制使用沙盒。

实例

例如:此iframe只允许加载script,其他的全部限制。

<iframe width="930" height="630" sandbox="allow-scripts" src="http://www.baidu.com"></iframe>

遇到的问题:
iframe使用sandbox属性后,即使将所有值设为允许,页面中的flash也无法使用。

参考:
HTML <iframe> 标签的 sandbox 属性

时间: 2024-08-09 08:00:34

iframe的sandbox使用的相关文章

Web前端之iframe详解

iframe基本内涵 通常我们使用iframe直接直接在页面嵌套iframe标签指定src就可以了. <iframe src="demo_iframe_sandbox.htm"></iframe> 但是,有追求的我们,并不是想要这么low的iframe. 我们来看看在iframe中还可以设置些什么属性 iframe常用属性: 1.frameborder:是否显示边框,1(yes),0(no) 2.height:框架作为一个普通元素的高度,建议在使用css设置.

HTML iframe 用法总结收藏

html5-iframe的新特性 相对于html4.0来说,html5在安全性方面有了很大的提升,甚至html5的标志看上去就像一块盾牌.其中iframe的sandbox特性,就是html5安全中很重要的组成部分部分.于此同时还带来了一个新的mime类型,text-html/sandboxed. 下面先简单介绍一下html5的iframe特性: 相对于我们平时所熟知的<iframe>标签的特性,比如"src","width","name&quo

Web客户端安全性最佳实践

HTTP?想都别想 当然,我并不想让你通过FTP或者普通的TCP协议来传输你的数据.我的意思是,如果你想让你的用户安全地访问你的网站,你应该使用SSL(HTTPS)来加密你的数据传输.不仅要加密登陆节点或者关键信息,而是要加密所有的数据.否则当用户通过公用网络访问你的应用时,他看见的内容说不定已经被别人"黑"掉了.这就叫中间人攻击. 如果你使用SSL,所有的数据在发送之前就会被加密,即使攻击者在网络中截获了数据包,他也没有办法查看或者篡改其中的内容.对于提升应用的安全性,这是目前为止最

《白帽子讲WEB安全》学习笔记之第6章 HTML 5 安全

第6章 HTML 5 安全 6.1 HTML 5新标签 6.1.1 新标签的XSS HTML5定义了新的标签.新的事件,这就有可能带来新的XSS攻击.所以黑白名单需要时常更新. 6.1.2 iframe的sandbox iframe的sandbox属性,就是html5安全中很重要的组成部分部分.于此同时还带来了一个新的mime类型,text-html/sandboxed. 在html5页面中,可以使用iframe的sandbox属性,比如:<iframesrc="http://alibab

Web 前端攻防(2014版)

转自:http://fex.baidu.com/blog/2014/06/web-sec-2014/ 禁止一切外链资源 外链会产生站外请求,因此可以被利用实施 CSRF 攻击. 目前国内有大量路由器存在 CSRF 漏洞,其中相当部分用户使用默认的管理账号.通过外链图片,即可发起对路由器 DNS 配置的修改,这将成为国内互联网最大的安全隐患. 案例演示 百度旅游在富文本过滤时,未考虑标签的 style 属性,导致允许用户自定义的 CSS.因此可以插入站外资源: 所有浏览该页面的用户,都能发起任意

WEB前端攻防

1.禁止一切外链资源 外链会产生站外请求,因此可以被利用实施 CSRF 攻击. 目前国内有大量路由器存在 CSRF 漏洞,其中相当部分用户使用默认的管理账号.通过外链图片,即可发起对路由器 DNS 配置的修改,这将成为国内互联网最大的安全隐患. 案例演示 百度旅游在富文本过滤时,未考虑标签的 style 属性,导致允许用户自定义的 CSS.因此可以插入站外资源: 所有浏览该页面的用户,都能发起任意 URL 的请求: 由于站外服务器完全不受控制,攻击者可以控制返回内容: ●如果检测到是管理员,或者

Web 前端攻防(2014版)-baidu ux前端研发部

http://fex.baidu.com/articles/page2/ Web 前端攻防(2014版) zjcqoo | 20 Jun 2014 禁止一切外链资源 外链会产生站外请求,因此可以被利用实施 CSRF 攻击. 目前国内有大量路由器存在 CSRF 漏洞,其中相当部分用户使用默认的管理账号.通过外链图片,即可发起对路由器 DNS 配置的修改,这将成为国内互联网最大的安全隐患. 案例演示 百度旅游在富文本过滤时,未考虑标签的 style 属性,导致允许用户自定义的 CSS.因此可以插入站

HTML5攻防向量

From:HTML 5 Morden Day Attack And Defense Vectors Autor:Rafay Baloch 摘要 根据Powermapper出版的统计,他们分析的Web页面中超过50%使用了HTML5 DOCTYPE,这意味着它们是HTML5 web应用 HTML5非常流行,由于它的一些新特性可以让Web应用开发者构建更多的交互式页面.然而,新特性也意味着新漏洞,本文分析了引入HTML5后的一些新特性及随之而来的漏洞 跨站脚本在本文中是一个重点,对HTML5特点的利

使用nginx部署网站

前面的话 如果服务器只需要放置一个网站程序,解析网站到服务器的网站,网站程序监听80端口就可以了.如果服务器有很多应用,借助nginx不仅可以实现端口的代理,还可以实现负载均衡.本文将详细介绍前端及nodeJS项目在服务器配置时需要用到的nginx配置 安装 [卸载nginx] 在介绍如何安装nginx之前,先要介绍如何卸载nginx.因为nginx不正确的安装,导致无法正常运行,所以需要卸载nginx sudo apt-get remove nginx nginx-common # 卸载删除除