懂得使用sandbox,限制iframe的权限,解决安全性问题

已于 2023-07-14 15:50:53 修改
阅读量5k 收藏 3
点赞数 3
分类专栏: html uniapp 文章标签: javascript vue.js 前端
于 2022-10-20 20:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57742384/article/details/127417005
版权

定义

sandbox 的值既可以是一个空字符串(应用所有的限制),也可以是空格分隔的预定义值列表(将移除特定的限制)。

如果被规定为空字符串(sandbox=""),sandbox 属性将会启用一系列对行内框架中内容的额外限制。

使用方法

1. sandbox=""
  应用所有限制

2. sandbox="allow-same-origin"
  允许 iframe 内容被视为与包含文档有相同的来源。

3. sandbox="allow-top-navigation"
  允许 iframe 内容从包含文档导航(加载)内容。 
  可用于禁用外部网站的JS跳转、target="_parent"、target="_top"等

4. sandbox="allow-forms"
  允许表单提交。

5. sandbox="allow-scripts"
  允许脚本执行,即允许iframe运行脚本(但不创建弹出窗口)。
  可用于禁用外部网站的JS

6. sandbox="allow-popups"
  允许弹出窗口(如window.open,target="_blank")。

5. sandbox="allow-scripts"
  允许弹出窗口逃离沙箱:允许一个沙箱文件打开新窗口不强制使用沙盒。

注意:

当iframe使用sandbox属性后,即使sandbox为空,也会应用所有的限制

 <iframe v-if="loginUrl" :src="loginUrl" frameborder="0" style="width: 100%;height: 100%"
              sandbox="allow-forms allow-scripts allow-same-origin allow-popups allow-top-navigation allow-downloads">
 </iframe>

巷子里的狼
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
html框架iframe菜鸟,HTML iframe sandbox 属性 | 菜鸟教程
weixin_33575191的博客
06-05 525
HTML sandbox 属性实例带有额外限制的 :sandbox="">尝试一下 »(更多实例见页面底部)浏览器支持Internet Explorer 10、Firefox、Chrome 和 Safari 支持 sandbox 属性。注意:Opera 和 Internet Explorer 9 及之前的版本不支持 sandbox 属性。定义和用法如果指定了空字符串(sandbox="")...
web安全策略之iframe-sandbox
rth362147773的博客
02-18 1万+
前言sandbox是html5的新属性,主要是提高iframe安全系数。iFrames因安全问题而臭名昭著,这主要是因为iFrames常常被用于嵌入第三方内容,而后者则可能会执行某些恶意操作。这样可以有效防止iframe对父页面进行攻击(禁用插件,禁止其他浏览上下文的导航,禁止弹出窗口和模式对话框)。sandbox通过限制被嵌入内容所允许的操作而提升iFrames的安全性。这种方式将sandbox
stripe.js踩坑日记
最新发布
Ariel_lj的博客
04-24 492
记录对接stripe时踩的坑和一些注意事项,拒绝走弯路
iframe内联元素有白边原因_教你如何使用内联框架元素 IFrames 的沙箱属性提高安全性
weixin_39737317的博客
11-28 370
作者:Huup_We转发链接:https://mp.weixin.qq.com/s/21ydrXuinCtYiJdsynsTrA前言想要构建一个体验丰富的网站,嵌入组件和内容几乎是不可避免的,而这些组件和内容你是无法真正控制的。第三方组件可以提高用户参与度并且在整个用户体验中起重要作用,且有时用户自定义内容甚至比网站本地的内容更重要。我们不能放弃使用第三方组件和用户自定义内容,但这两种方法都增加了...
iframe使用理解
i_Satan的博客
04-19 4512
frame 用于在页面内显示页面,使用 iframe 会创建包含另外一个文档的内联框架(即行内框架)
web前端安全性——iframe安全问题
qq_53911056的博客
02-22 669
iframe安全问题可称作界面劫持,像点击劫持、拖放劫持、触屏劫持。就是我们的点击,拖放,触屏操作被劫持了,而去操作了其它的透明隐藏的界面。原理是利用透明层iframe,使用了CSS中的opacity或z-index等属性,来到达透明和位于其它界面的上方,然后使用iframe来嵌入劫持页面。
HTML <iframesandbox属性
没有简介
11-24 2430
沙箱属性的值将被简单地沙箱化(然后应用所有限制),或者以空格分隔的预定义值列表将消除实际限制。支持的浏览器:下面列出了HTML video preload属性支持的浏览器。sandbox属性允许对iframe中的内容进行其他限制
iFramesandbox配置
m0_46660770的博客
08-01 1647
记录学习日常
HTML <iframe> sandbox 属性
u010403387的专栏
03-26 1822
HTML sandbox 属性 定义和用法 如果指定了空字符串(sandbox=""),该属性对呈现在iframe框架中的内容启用一些额外的限制条件。 sandbox 属性的值既可以是一个空字符串(将会启用所有的限制),也可以是用空格分隔的一系列指定的字符串。 HTML 5通过sandbox属性提升iFrame安全性sandbox属性可以防止不信任的Web页面执行某些
iframe标签的sandbox属性
我的博客
06-28 1804
sandbox 属性的值既可以是一个空字符串(应用所有的限制),也可以是空格分隔的预定义值列表(将移除特定的限制)。如果被规定为空字符串(sandbox=“”),sandbox 属性将会启用一系列对行内框架中内容的额外限制iframe使用sandbox属性后,即使将所有值设为允许,页面中的flash也无法使用。允许弹出窗口(如window.open,target=“_blank”)。允许脚本执行,即允许iframe运行脚本(但不创建弹出窗口)。例如:此iframe只允许加载script,其他的全部限制
<iframe> 标签的 sandbox 属性
钱多多
10-15 3010
你好" sandbox  src="http://www.baidu.com"> seamless="seamless"代表不会有边距和边框 srcdoc指定内嵌框架的内容,如果指定了srcdoc,后面的 src里面的内容就会被忽略 sandbox是安全级别,加上sandbox表示该框架禁止提交表单,禁止执行JS脚本 属性值 值 描述
sandbox
03-12
例如,在Android开发中,每个应用都有自己的沙盒,只能访问其内部存储和特定权限授予的外部资源,以确保应用间的相互独立和安全性。 此外,操作系统如Google的Fuchsia也采用沙盒技术,将每个服务或进程都放在沙盒中...
html-sandbox
03-28
HTML Sandbox通过设置`<iframe>`的`sandbox`属性,可以创建一个受限制JavaScript执行环境,避免这些安全问题。 3. **`sandbox`属性** `sandbox`属性是HTML5引入的,用于`<iframe>`元素。它可以接受一系列值,如`...
禁止iframe脚本弹出的窗口覆盖了父窗口的方法
09-04
这在用户体验上可能是不期望的,尤其是在跨域安全性和页面控制权方面。本文将探讨如何防止`iframe`中的脚本弹出的窗口覆盖父窗口,并重点讨论在IE浏览器下的解决方案。 首先,我们需要理解`window.parent`对象在...
iframe sandbox属性
weixin_33881140的博客
08-13 1886
背景 使用他人提供的公共服务时,发现ajax异步请求发不成功,请教他人后,原来是使用iframesandbox属性的原因。因为iframe经常嵌入第三方服务,如果不加以限制的话,会存在很多安全问题sandbox就是用来限制第三方嵌入页面操作权限的。 sandbox属性 sandbox有很多属性,目前已经研究的属性有:""、 allo...
简介:iframe 沙箱+WebComponent 容器
通达的博客
03-19 1244
基于浏览器的软件很快就会变得复杂且难以维护,尤其是当它被实现为大型单页应用程序时。通过采用微前端方法并将web应用程序设计为功能系统,您可以提供更快的功能开发、更容易的升级,并选择您在堆栈中使用的技术。Micro Frontends in Action是您简化笨重前端的指南,它由定义良好的小单元组成。
iframe sandbox 沙盒绕过
热门推荐
12-21 2万+
这个问题实际上就是iframe sandbox 沙盒绕过,iframe通过sandbox属性实现沙箱模式,允许js脚本执行,可直接引用第三方js文件来绕过。禁止iframe 里的javascript 执行 top.location = self.location。 也就是禁止了跳转,绕过了反点击劫持。 案例: <iframe src='2.html' sandbox="allow...
前端沙箱浅析
a736755244的博客
01-05 2304
前端沙箱的一些实现方式,部分参考网络资料和官方资料。本文为公司(joysuch)内部分享文章,转载注明出处(2023-1-5)。
限制页面在指定iframe框架外被访问的方法(前端解决
snnu_robiny的博客
08-23 2011
项目上遇到一个有意思的需求,我们自己做了一个Vue站点,然后站点被另外一个主站以iframe的形式引用,现在出于安全和两个站点形式统一的需求,要求我们的子站点不能被主站点以外的站点访问。 首先我想到网上有如何让站点在iframe框架外不显示的方法,只要检测当前window是不是顶级window就行了,代码如下: if (window !== top.window) { new Vue({ el: '#app', router, store,...
iframe打开sandbox所有权限
06-09
使用 iframe 标签时,可以通过设置 `sandbox` 属性来限制其访问权限,包括脚本执行、表单提交、跨域访问等。如果您想要在 iframe 中开启所有权限,可以将 `sandbox` 属性设置为空字符串,如下所示: ```html ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

巷子里的狼

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值