懂得使用sandbox,限制iframe的权限,解决安全性问题

已于 2023-07-14 15:50:53 修改
阅读量4.9k 收藏 3
点赞数 3
分类专栏: html uniapp 文章标签: javascript vue.js 前端
于 2022-10-20 20:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57742384/article/details/127417005
版权

定义

sandbox 的值既可以是一个空字符串(应用所有的限制),也可以是空格分隔的预定义值列表(将移除特定的限制)。

如果被规定为空字符串(sandbox=""),sandbox 属性将会启用一系列对行内框架中内容的额外限制。

使用方法

1. sandbox=""
  应用所有限制

2. sandbox="allow-same-origin"
  允许 iframe 内容被视为与包含文档有相同的来源。

3. sandbox="allow-top-navigation"
  允许 iframe 内容从包含文档导航(加载)内容。 
  可用于禁用外部网站的JS跳转、target="_parent"、target="_top"等

4. sandbox="allow-forms"
  允许表单提交。

5. sandbox="allow-scripts"
  允许脚本执行,即允许iframe运行脚本(但不创建弹出窗口)。
  可用于禁用外部网站的JS

6. sandbox="allow-popups"
  允许弹出窗口(如window.open,target="_blank")。

5. sandbox="allow-scripts"
  允许弹出窗口逃离沙箱:允许一个沙箱文件打开新窗口不强制使用沙盒。

注意:

当iframe使用sandbox属性后,即使sandbox为空,也会应用所有的限制

 <iframe v-if="loginUrl" :src="loginUrl" frameborder="0" style="width: 100%;height: 100%"
              sandbox="allow-forms allow-scripts allow-same-origin allow-popups allow-top-navigation allow-downloads">
 </iframe>

巷子里的狼
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
allow-same-origin属性案例
04-29
两个网页所在URL的域名相同、端口相同才能被当初同一源。出于安全考虑,如果两个网页不是同一源,那么网页是不允许使用Ajax进行交互的,一旦设置了allow-same-origin属性,就会被视为同源,加载服务器的内容,这些操作都需要JavaScript,因此常常需要与allow-scripts属性相结合使用 博客文章地址:https://blog.csdn.net/sujin_/article/details/80144310
html5-iframe的新特性
热门推荐
yiluoAK_47的专栏
05-07 4万+
相对于html4.0来说,html5在安全性方面有了很大的提升,甚至html5的标志看上去就像一块盾牌。其中iframesandbox特性,就是html5安全中很重要的组成部分部分。于此同时还带来了一个新的mime类型,text-html/sandboxed。    下面先简单介绍一下html5的iframe特性:    相对于我们平时所熟知的标签的特性,比如“src”,“width”,"n
iframe sandbox属性
weixin_33881140的博客
08-13 1862
背景 使用他人提供的公共服务时,发现ajax异步请求发不成功,请教他人后,原来是使用iframesandbox属性的原因。因为iframe经常嵌入第三方服务,如果不加以限制的话,会存在很多安全问题sandbox就是用来限制第三方嵌入页面操作权限的。 sandbox属性 sandbox有很多属性,目前已经研究的属性有:""、 allo...
stripe.js踩坑日记
最新发布
Ariel_lj的博客
04-24 451
记录对接stripe时踩的坑和一些注意事项,拒绝走弯路
HTML <iframesandbox属性
没有简介
11-24 2408
沙箱属性的值将被简单地沙箱化(然后应用所有限制),或者以空格分隔的预定义值列表将消除实际限制。支持的浏览器:下面列出了HTML video preload属性支持的浏览器。sandbox属性允许对iframe中的内容进行其他限制
html框架iframe菜鸟,HTML iframe sandbox 属性 | 菜鸟教程
weixin_33575191的博客
06-05 518
HTML sandbox 属性实例带有额外限制的 :sandbox="">尝试一下 »(更多实例见页面底部)浏览器支持Internet Explorer 10、Firefox、Chrome 和 Safari 支持 sandbox 属性。注意:Opera 和 Internet Explorer 9 及之前的版本不支持 sandbox 属性。定义和用法如果指定了空字符串(sandbox="")...
HTML <iframe> sandbox 属性
u010403387的专栏
03-26 1813
HTML sandbox 属性 定义和用法 如果指定了空字符串(sandbox=""),该属性对呈现在iframe框架中的内容启用一些额外的限制条件。 sandbox 属性的值既可以是一个空字符串(将会启用所有的限制),也可以是用空格分隔的一系列指定的字符串。 HTML 5通过sandbox属性提升iFrame安全性sandbox属性可以防止不信任的Web页面执行某些
前端沙箱浅析
a736755244的博客
01-05 2255
前端沙箱的一些实现方式,部分参考网络资料和官方资料。本文为公司(joysuch)内部分享文章,转载注明出处(2023-1-5)。
使用 iframe sandbox 时的注意点
jdk137的专栏
11-12 8484
一、allow-scripts 允许执行js二、allow-same-origin 同源,允许父子页面共享cookie, 互相操作.三、当被嵌入的文档与主页面同源时,强烈建议不要同时使用 allow-scripts 和allow-same-origin ,否则的话将允许嵌入的文档通过代码删除 sandbox 属性。虽然你可以这么做,但是这样的话其安全性还不如不用sandbox。四、使用src=”da
iframe sandbox 沙盒绕过
12-21 2万+
这个问题实际上就是iframe sandbox 沙盒绕过,iframe通过sandbox属性实现沙箱模式,允许js脚本执行,可直接引用第三方js文件来绕过。禁止iframe 里的javascript 执行 top.location = self.location。 也就是禁止了跳转,绕过了反点击劫持。 案例: <iframe src='2.html' sandbox="allow...
iframe标签的sandbox属性
我的博客
06-28 1754
sandbox 属性的值既可以是一个空字符串(应用所有的限制),也可以是空格分隔的预定义值列表(将移除特定的限制)。如果被规定为空字符串(sandbox=“”),sandbox 属性将会启用一系列对行内框架中内容的额外限制iframe使用sandbox属性后,即使将所有值设为允许,页面中的flash也无法使用。允许弹出窗口(如window.open,target=“_blank”)。允许脚本执行,即允许iframe运行脚本(但不创建弹出窗口)。例如:此iframe只允许加载script,其他的全部限制
iFramesandbox配置
m0_46660770的博客
08-01 1593
记录学习日常
sandbox
03-12
例如,在Android开发中,每个应用都有自己的沙盒,只能访问其内部存储和特定权限授予的外部资源,以确保应用间的相互独立和安全性。 此外,操作系统如Google的Fuchsia也采用沙盒技术,将每个服务或进程都放在沙盒中...
html-sandbox
03-28
HTML Sandbox通过设置`<iframe>`的`sandbox`属性,可以创建一个受限制的JavaScript执行环境,避免这些安全问题。 3. **`sandbox`属性** `sandbox`属性是HTML5引入的,用于`<iframe>`元素。它可以接受一系列值,如`...
sandbox_javascript
02-12
在创建JavaScript沙箱时,关键在于平衡安全性和功能。过于严格的沙箱可能会限制代码的实用性,而过于宽松则可能导致安全风险。因此,开发者需要根据实际需求来定制沙箱策略,例如,为用户上传的脚本设定适当的权限,...
HTML iframe 用法总结收藏
03-25 1738
html5-iframe的新特性 相对于html4.0来说,html5在安全性方面有了很大的提升,甚至html5的标志看上去就像一块盾牌。其中iframesandbox特性,就是html5安全中很重要的组成部分部分。于此同时还带来了一个新的mime类型,text-html/sandboxed。    下面先简单介绍一下html5的iframe特性:    相对于我们平时所熟知的标签的特
深入探究iframe:网页嵌入的魔法盒子(上)
你若盛开,清风自来
02-02 1254
iframe是一种HTML标签,用于在网页中嵌入另一个网页。iframe允许您在当前页面中嵌入另一个完全独立的网页,这两个网页之间可以进行交互,但它们具有独立的域名和会话。内容嵌入:iframe允许您将另一个网页嵌入到当前页面中,这可以用于在当前页面中显示广告、工具栏或其他内容。跨域交互:iframe允许您在两个不同的域名之间进行交互,这可以用于实现跨域登录、跨域数据传输等功能。页面缩放:iframe的方法可以用来调整嵌入的网页的大小。历史记录。
web安全策略之iframe-sandbox
rth362147773的博客
02-18 1万+
前言sandbox是html5的新属性,主要是提高iframe安全系数。iFrames因安全问题而臭名昭著,这主要是因为iFrames常常被用于嵌入第三方内容,而后者则可能会执行某些恶意操作。这样可以有效防止iframe对父页面进行攻击(禁用插件,禁止其他浏览上下文的导航,禁止弹出窗口和模式对话框)。sandbox通过限制被嵌入内容所允许的操作而提升iFrames的安全性。这种方式将sandbox
(nginx代理 解决 跨域调用子页或allow-same-origin或Access-Control-Allow-Origin问题
weixin_42829146的博客
11-23 2090
nginx代理 解决 跨域调用子页或allow-same-origin或Access-Control-Allow-Origin问题简单说下背景和解决方案方法二 本人理解变成同源既可nginx config配置 简单说下背景和解决方案 项目需要iframe引入其他项目的页面,或者调用其他项目接口。 原因:受浏览器同源策略限制 方法一:修改子窗口请求服务器响应头x-frame-options,设置为允许你自己的域名通过。(略) 方法二:用nginx搞一个代理服务器转发请求 方法二 本人理解变成同源既可
iframe打开sandbox所有权限
06-09
使用 iframe 标签时,可以通过设置 `sandbox` 属性来限制其访问权限,包括脚本执行、表单提交、跨域访问等。如果您想要在 iframe 中开启所有权限,可以将 `sandbox` 属性设置为空字符串,如下所示: ```html <iframe src="your_url" sandbox=""></iframe> ``` 这样设置后,iframe 就拥有了与父页面相同的权限,可以执行脚本、提交表单、跨域访问等。需要注意的是,开启所有权限可能会带来一定的安全风险,请谨慎使用。同时,还需要确保您的 iframe 中的内容是可信的,以免被恶意利用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

巷子里的狼

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值