使用 iframe sandbox 时的注意点

最新推荐文章于 2024-08-12 17:49:06 发布

jdk137

最新推荐文章于 2024-08-12 17:49:06 发布

阅读量8.7k

点赞数 2

分类专栏： web开发文章标签：安全 web开发 iframe sandbox 沙盒

本文链接：https://blog.csdn.net/jdk137/article/details/53141387

版权

web开发专栏收录该内容

7 篇文章 0 订阅

订阅专栏

一、allow-scripts 允许执行js

二、allow-same-origin 同源，允许父子页面共享cookie, 互相操作.

三、当被嵌入的文档与主页面同源时，强烈建议不要同时使用 allow-scripts 和allow-same-origin ，否则的话将允许嵌入的文档通过代码删除 sandbox 属性。虽然你可以这么做，但是这样的话其安全性还不如不用sandbox。

四、使用src=”data:……”, srcdoc=”….” 直接设置iframe 内容时的区别：

1. src 的data:text/html是 Data URI， 长度不能超过32,768
2. 同时使用时srcdoc优先级更高
3. 当前 IE 不支持 srcdoc [浏览器支持](http://caniuse.com/#feat=iframe-srcdoc)
4. srcdoc更安全

五、postMessage可用于父子窗口安全地传递消息

参考资料：
https://developer.mozilla.org/zh-CN/docs/Web/HTML/Element/iframe

http://stackoverflow.com/questions/19739001/which-is-the-difference-between-srcdoc-and-src-datatext-html-in-an

浏览器同源政策及其规避方法

https://www.html5rocks.com/en/tutorials/security/sandboxed-iframes/

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

jdk137

关注关注

2
点赞
踩
3

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

01-29

yiluoAK_47的专栏

05-07

4万+

相对于html4.0来说，html5在安全性方面有了很大的提升，甚至html5的标志看上去就像一块盾牌。其中iframe的sandbox特性，就是html5安全中很重要的组成部分部分。于此同时还带来了一个新的mime类型，text-html/sandboxed。下面先简单介绍一下html5的iframe特性：相对于我们平时所熟知的标签的特性，比如“src”，“width”,"n

参与评论您还未登录，请先登录后发表或查看评论

html5中的iframe

m0_73280507的博客

07-05

619

iframe>浏览上下文是浏览器展示文档的环境，通常是一个tab标签页，一个窗体或者是浏览器页面的一部分。每个浏览上下文都有一个活动文档的源和一个记录所有展示文档的有序历史。浏览上下文的通讯被严格限制，只有两个同源的浏览器上下文，才能打开和使用通讯接口。

iFrame的sandbox配置

m0_46660770的博客

08-01

1780

记录学习日常

懂得使用sandbox，限制iframe的权限，解决安全性问题

m0_57742384的博客

10-20

5267

懂得使用sandbox，限制iframe的权限，解决安全性问题

iframe sandbox 沙盒绕过

12-21

2万+

这个问题实际上就是iframe sandbox 沙盒绕过，iframe通过sandbox属性实现沙箱模式，允许js脚本执行，可直接引用第三方js文件来绕过。禁止iframe 里的javascript 执行 top.location = self.location。也就是禁止了跳转，绕过了反点击劫持。案例： <iframe src='2.html' sandbox="allow...

iframede 的使用

m0_70947033的博客

07-08

201

如果iframe显示浏览器不支持cavas,就在标签加上sandbox=“allow-same-origin allow-scripts allow-popups allow-forms”,就会出现内容了。[在这里插入图片描述](https://img-blog.csdnimg.cn/815e3950db4c4ec7aec643aad7b0f403.png)

iframe 中的sandbox如何使用

05-12

以下是一个示例，展示了如何在 `iframe` 中使用 `sandbox` 属性： ```html <iframe src="https://example.com" sandbox="allow-forms allow-scripts"></iframe> ``` 在上面的示例中，`sandbox` 属性指定了 `allow-...

如何使用iframe

03-25

**如何使用iframe** 在网页设计和开发中，`iframe`...然而，在使用时需要注意其潜在的性能和兼容性问题，合理利用可以极大地提升网页的功能性和用户体验。学习并熟练掌握`iframe`，对于网页开发者的技能提升大有裨益。

iframe打开sandbox所有权限

06-09

在使用 iframe 标签时，可以通过设置 `sandbox` 属性来限制其访问权限，包括脚本执行、表单提交、跨域访问等。如果您想要在 iframe 中开启所有权限，可以将 `sandbox` 属性设置为空字符串，如下所示： ```html ...

iframe去边框、无边框使用大全(实践经验整理)

12-14

需要注意的是，`<iframe>`元素在HTML4.01严格规范中并未定义，但在HTML5中被正式接纳，并增加了一些新的属性，如`sandbox`和`seamless`，前者用于增强安全性，后者则尝试让iframe看起来像是页面的一部分。...

iframe标签的sandbox属性

我的博客

06-28

2029

sandbox 属性的值既可以是一个空字符串（应用所有的限制），也可以是空格分隔的预定义值列表（将移除特定的限制）。如果被规定为空字符串（sandbox=“”），sandbox 属性将会启用一系列对行内框架中内容的额外限制。iframe使用sandbox属性后，即使将所有值设为允许，页面中的flash也无法使用。允许弹出窗口（如window.open，target=“_blank”）。允许脚本执行，即允许iframe运行脚本（但不创建弹出窗口）。例如：此iframe只允许加载script，其他的全部限制。

HTML ＜iframe＞ sandbox属性

没有简介

11-24

2496

沙箱属性的值将被简单地沙箱化(然后应用所有限制)，或者以空格分隔的预定义值列表将消除实际限制。支持的浏览器：下面列出了HTML video preload属性支持的浏览器。sandbox属性允许对iframe中的内容进行其他限制。

web安全策略之iframe-sandbox

rth362147773的博客

02-18

1万+

前言sandbox是html5的新属性，主要是提高iframe安全系数。iFrames因安全问题而臭名昭著，这主要是因为iFrames常常被用于嵌入第三方内容，而后者则可能会执行某些恶意操作。这样可以有效防止iframe对父页面进行攻击（禁用插件，禁止其他浏览上下文的导航，禁止弹出窗口和模式对话框）。sandbox通过限制被嵌入内容所允许的操作而提升iFrames的安全性。这种方式将sandbox内

Cesium处理iframe的allow-scripts权限问题

skyunlin的专栏

01-04

1119

const iframe = ... // 获取iframe dom元素 iframe.setAttribute('sandbox', 'allow-same-origin allow-scripts allow-popups allow-forms') iframe.setAttribute('src', '')

VUE使用 iframe 嵌入网页

lilylry的博客

08-11

1万+

但若嵌入的网页是第三方网页，对方的操作可能存在安全风险。为了限制的风险，HTML 提供了sandbox属性，允许设置嵌入的网页的权限，等同于提供了一个隔离层，即“沙箱”。allow-storage-access-by-user-activation：允许在用户激动的情况下，嵌入的网页通过 Storage Access API 访问父窗口的储存。问题：容器云嵌入该工程时使用iframe嵌入，嵌入的路径是动态的，路由的代理会产生问题，运维功能嵌入其他平台时，路径也是动态的同样也需要配置。

iframe从入门到入门