web安全策略之iframe-sandbox

最新推荐文章于 2024-06-18 18:04:55 发布
最新推荐文章于 2024-06-18 18:04:55 发布
阅读量1.1w 收藏 6
点赞数 2
分类专栏: 前端技术 文章标签: html5 沙盒 web 安全 对话框
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rth362147773/article/details/55670035
版权

前言

sandbox是html5的新属性,主要是提高iframe安全系数。iFrames因安全问题而臭名昭著,这主要是因为iFrames常常被用于嵌入第三方内容,而后者则可能会执行某些恶意操作。这样可以有效防止iframe对父页面进行攻击(禁用插件,禁止其他浏览上下文的导航,禁止弹出窗口和模式对话框)。sandbox通过限制被嵌入内容所允许的操作而提升iFrames的安全性。这种方式将sandbox内容与父页面进行了分离,因此限制了被嵌入内容的权限。它可以防止如下操作:

◆访问父页面的DOM(从技术角度来说,这是因为相对于父页面iframe已经成为不同的源了)
◆执行脚本
◆通过脚本嵌入自己的表单或是操纵表单
◆对cookie、本地存储或本地SQL数据库的读写

<iframe src=‘www.baidu.com' sandbox=''></iframe>

IE 9 以及更早的版本不支持 sandbox 属性,Opera 12 以及更早的版本也不支持该属性。

sandbox属性
描述
“”应用以下所有的限制。
allow-same-origin允许 iframe 内容被视为与包含文档有相同的来源。
allow-top-navigation允许 iframe 内容从包含文档导航(加载)内容。
allow-forms允许表单提交。
allow-scripts允许脚本执行。
例子 index.html
<!DOCTYPE html>
<html>
    <title>index</title>
    <body>
        <h1>index</h1>
        <iframe src="child.html" sandbox=""></iframe>
    </body>
</html>
例子 child.html
<!DOCTYPE html>
<html>
    <title>child</title>
    <script type="text/javascript">
        alert('child');
    </script>
    <body>
        <h1>child</h1>
        <form id="form" action="http://www.baidu.com">
            <input type="submit" value="sub">
        </form>
    </body>
</html>
例子解释

这样child.html页面的alert 和 form提交都无法执行。防止child页面对index页面的操作。child域从而独立。index可以继续控制child,而child无法控制index。

结论

sandbox是专门为iframe而定制的一个属性,现在对浏览器兼容来说不能完美兼容。但只是一个简单的代码在写的时候建议加入’sandbox’。还是起到一定的安全作用的。还有如果别人用js移除sandbox,必须下次页面重现刷新才会执行。而刚好页面渲染循序是,html>css>js文件。因此如果是用js移除sandbox属性应该是无效的。就一行代码别懒了。hh

JarunWang
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
html-sandbox
03-28
HTML Sandbox通常指的是一个受限的HTML环境,它通过特定的安全策略限制了HTML文档的能力,比如阻止脚本执行、禁止加载外部资源等。这种方式可以确保在浏览器中运行的代码不会对用户的系统造成危害。 2. **...
iframe-cross-domain.rar
05-09
然而,当iframe加载的源与父页面不在同一个域名下时,就会遇到跨域限制,这是浏览器的安全策略,防止恶意网站窃取数据。 跨域限制源于同源策略(Same-Origin Policy),它是Web安全的基础,规定了只有来自相同协议...
打破iframe安全限制的3种方案
web修理工
12-28 9817
转载:http://www.ayqy.net/blog/%E6%89%93%E7%A0%B4iframe%E5%AE%89%E5%85%A8%E9%99%90%E5%88%B6%E7%9A%843%E7%A7%8D%E6%96%B9%E6%A1%88/ 一.从 iframe 说起 利用iframe能够嵌入第三方页面,例如: <iframe style="width: 800px; height: 600px;" src="https://www.baidu.com"/> 然而,并非所有第三方页
HTML <iframesandbox属性
没有简介
11-24 2458
沙箱属性的值将被简单地沙箱化(然后应用所有限制),或者以空格分隔的预定义值列表将消除实际限制。支持的浏览器:下面列出了HTML video preload属性支持的浏览器。sandbox属性允许对iframe中的内容进行其他限制。
Windows10家庭版没有Windows Sandbox(Windows沙盒)怎么安装Windows Sandbox(Windows沙盒
最新发布
A2544558的博客
06-18 785
Windows Sandbox跟Hyper-V的区别:Windows Sandbox不需要特意安装系统镜像,比较简单,但只能创建1个虚拟机;Hyper-V需要特意安装系统镜像,比较繁琐,但能同时创建多个虚拟机。注:本操作95%成功,不管成不成功都不会对电脑造成影响,不成功可以点击链接试试Hyper-v,注:如果是Windows10专业版或Windows企业版,可以直接看第6步到第10步。不成功也不要伤心,毕竟小编失败了(本文是我在另一台电脑上运行的结果)有没有大神出来帮帮我,在线等,很着急。
iframe标签的sandbox属性
我的博客
06-28 1901
sandbox 属性的值既可以是一个空字符串(应用所有的限制),也可以是空格分隔的预定义值列表(将移除特定的限制)。如果被规定为空字符串(sandbox=“”),sandbox 属性将会启用一系列对行内框架中内容的额外限制。iframe使用sandbox属性后,即使将所有值设为允许,页面中的flash也无法使用。允许弹出窗口(如window.open,target=“_blank”)。允许脚本执行,即允许iframe运行脚本(但不创建弹出窗口)。例如:此iframe只允许加载script,其他的全部限制。
iframe安全策略
qq_43258522的博客
09-26 453
限制iframe页面源地址白名单:通过设置iframe的src属性,指定白名单加载iframe页面,不在白名单的源地址可以不加载页面或者给出警告 设置iframesandbox属性:sandbox(沙箱)属性可以将iframe中的内容限制在一个安全的环境中,可以禁止脚本执行、禁止访问父页面、禁止向其他网站发送请求 CSP(Content Security Policy):CSP是一种安全策略,可以限制网页中资源的加载;可以防止XSS(跨站脚本攻击)安全漏洞
懂得使用sandbox,限制iframe的权限,解决安全性问题
m0_57742384的博客
10-20 5158
懂得使用sandbox,限制iframe的权限,解决安全性问题
iFramesandbox配置
m0_46660770的博客
08-01 1700
记录学习日常
JavaScript-Sandbox-Repo
05-27
在"JavaScript-Sandbox-Repo"这个项目中,我们可能看到的是一个关于如何创建和管理这种安全执行环境的资源集合。 1. **JavaScript 沙箱原理**: - 沙箱机制是通过限制代码的访问权限来实现的,例如阻止文件系统...
Iframe -web简单的WEB框架(Iframe
12-07
**Iframe - Web简单的WEB框架(Iframe)** 在Web开发中,`<iframe>`(Inline Frame)元素是一个非常实用的工具,它允许我们在一个HTML文档中嵌入另一个HTML文档,从而实现页面的分片或者内容的动态加载。`<iframe>`...
jq替换iframe里面视频关闭自动播放的功能
12-11
通过jq把ifram里面的视频转换成不自动播放的视频。 希望有需要的同志们采纳一下。
Iframe-checker:检查iframe是否已连接的简单工具
04-19
- `sandbox`属性可以为`iframe`添加额外的安全限制。 2. **JavaScript与DOM**: - DOM是HTML和XML文档的编程接口,它将文档结构转换为树形结构,便于程序进行操作。 - JavaScript可以通过`document....
iframe沙箱模式
asing1elife's blog
10-14 3742
iframe中存在一个sandbox属性可以实现沙箱模式,通过给这个属性设值,可以限制iframe中能进行的操作,从而不影响父窗口的运行 更多精彩 更多技术博客,请移步 asing1elife’s blog 属性 allow-same-orign 允许将内容作为普通来源对待,否则会被设为来自一个独立的源 allow-top-navigation 允许包含文档导航内容 allow-form...
<iframe> 标签的 sandbox 属性
钱多多
10-15 3020
你好" sandbox  src="http://www.baidu.com"> seamless="seamless"代表不会有边距和边框 srcdoc指定内嵌框架的内容,如果指定了srcdoc,后面的 src里面的内容就会被忽略 sandbox安全级别,加上sandbox表示该框架禁止提交表单,禁止执行JS脚本 属性值 值 描述
HTML <iframe> sandbox 属性
u010403387的专栏
03-26 1828
HTML sandbox 属性 定义和用法 如果指定了空字符串(sandbox=""),该属性对呈现在iframe框架中的内容启用一些额外的限制条件。 sandbox 属性的值既可以是一个空字符串(将会启用所有的限制),也可以是用空格分隔的一系列指定的字符串。 HTML 5通过sandbox属性提升iFrame安全性。sandbox属性可以防止不信任的Web页面执行某些
iframesandbox使用
weixin_33859665的博客
12-19 868
sandbox:限制iframe的权限,解决安全性问题。 定义 如果被规定为空字符串(sandbox=""),sandbox 属性将会启用一系列对行内框架中内容的额外限制。sandbox 属性的值既可以是一个空字符串(应用所有的限制),也可以是空格分隔的预定义值列表(将移除特定的限制)。 用法 1. sandbox=""  应用所有限制 2.sandbox="allow-same-or...
html框架iframe菜鸟,HTML iframe sandbox 属性 | 菜鸟教程
weixin_33575191的博客
06-05 533
HTML sandbox 属性实例带有额外限制的 :sandbox="">尝试一下 »(更多实例见页面底部)浏览器支持Internet Explorer 10、Firefox、Chrome 和 Safari 支持 sandbox 属性。注意:Opera 和 Internet Explorer 9 及之前的版本不支持 sandbox 属性。定义和用法如果指定了空字符串(sandbox="")...
简介:iframe 沙箱+WebComponent 容器
通达的博客
03-19 1336
基于浏览器的软件很快就会变得复杂且难以维护,尤其是当它被实现为大型单页应用程序时。通过采用微前端方法并将web应用程序设计为功能系统,您可以提供更快的功能开发、更容易的升级,并选择您在堆栈中使用的技术。Micro Frontends in Action是您简化笨重前端的指南,它由定义良好的小单元组成。
jvm-sandbox
07-28
JVM-Sandbox是一个基于Java虚拟机(JVM)的沙箱环境,用于限制Java应用程序的权限和资源访问。它提供了一种安全的执行环境,可以防止恶意代码对系统造成损害。 JVM-Sandbox通过使用Java安全管理器和安全策略文件来实现权限限制。安全管理器允许开发人员定义自定义的安全策略来控制应用程序的行为,例如限制文件系统访问、网络访问、反射操作等。安全策略文件定义了被允许或禁止的操作,可以根据应用程序的需求进行配置。 JVM-Sandbox还提供了对JVM的细粒度控制,可以限制应用程序对CPU、内存和线程等资源的使用。这有助于防止应用程序耗尽系统资源或导致系统崩溃。 JVM-Sandbox通常用于执行不受信任的代码,例如第三方插件或用户提交的脚本。它可以提供额外的安全层,以防止恶意代码对主机系统或其他应用程序造成危害。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值