J'ai lu sur l'attribut de sandbox code> de HTML5 code> pour
4 Réponses :
L'attribut Sandbox n'active aucune fonctionnalité supplémentaire, il ne limite que la fonctionnalité de l'IFrame. La seule raison de l'utiliser est comme une mesure de sécurité. P>
L'iframe Lorsque l'attribut est défini, le contenu est traité comme étant provenant d'une origine unique, des formulaires, des scripts et diverses API potentiellement gênants sont désactivés, des liens sont empêchés de cibler d'autres contextes de navigation et des plugins sont sécurisés. P>
blockQuote> Sandbox code> est purement une fonctionnalité de sécurité. Une bonne ressource est toujours le W3 Spécification HTML5 a>. p>
Ainsi, l'attribut Sandbox vous permettra de faire des choses avec des iframes sur «HTTPS» que vous ne pouvez précédemment faire qu'avec 'http'?
L'attribut code> sandbox code> ajoute des restrictions. Les mots-clés réacquent la fonctionnalité Le iframe code> aurait déjà dépassé l'attribut code> sandbox code>.
Ce que je demande est, existe-t-il des circonstances dans lesquelles une iframe non-Sandbox va casser https mais une iframeboxyboxed iframe ne sera pas.
Je pense que vous devriez mettre à jour votre question et votre titre pour spécifier cela.
Eh bien, c'est purement une fonctionnalité de sécurité, mais elle fait em> permet également de nouvelles fonctionnalités. Prenons par exemple l'intégration de contenu tiers (utilisateur) (par exemple, fichiers HTML). Traditionnellement, vous auriez besoin de configurer un domaine séparé à partir duquel vous serviriez ce contenu, mais vous pouvez simplement le servir de partout où vous le souhaitez et que vous l'avez traité comme s'il s'agit d'un domaine distinct. p>
En plus de cela, il peut empêcher ce contenu tiers de faire certaines choses, que vous n'auriez pas pu empêcher précédemment comme: p>
Réaliste la combinaison de l'attribut code> Sandbox code> combiné à des en-têtes CSP contrôlés donne une quantité incroyable de contrôle pour exécuter un code tiers dans un environnement sûr. Ce n'est pas encore à 100%, mais nous deviendrons assez près. P>
Autoriser-top-navigation code>: Empêcher de la rupture de li>
Autoriser-Pointer-Lock Code>: Empêcher le curseur Hostage Li>
Autoriser-popups CODE>: Empêcher la rupture de popups li>
Autoriser-scripts code>: bloquer simplement tous les scripts (aurait également pu être effectué via csp) li>
ul>
Il autorise donc HTTPS d'être utilisé dans des situations où elle n'aurait pas pu être utilisée?
@Benpearce Je n'ai aucune idée de ce que vous voulez dire avec cette question ... Https peut et pourrait être utilisé n'importe où où HTTP pourrait être utilisé et qu'il n'a rien à voir avec tout cela aussi loin que je peux penser maintenant (bien que je puisse oublier quelque chose ...).
Je parle de l'icône "verrouillage" de l'URL, qui signifie que le site répond à une exigence de sécurité. Un iframe régulier peut-il casser cela et, si oui, peut-il la conserver?
@Benpearce Ah, des avertissements de contenu mixtes et similaires? Autant que je ne connaisse aucun navigateur utilise Sandbox code> pour affecter ces avertissements. La raison en laquelle cela serait probablement que déterminerait que l'URL de chargement se passe toujours dans l'environnement sécurisé, de sorte que le bac à sable insécurisé autoriserait toujours beaucoup d'exploits de sécurité et donner une fausse sens de la sécurité à l'utilisateur.
"Autoriser" B> signifie "Empêcher" B>? Donc, pour Autoriser tout B> signifie que nous devons Supprimer l'attribut Sandbox B> entièrement? Même pour que je ne puisse pas faire mon bouton de contenu de mon cadre qui invoque le code de code JQuery non plus. Mon code JQuery est à l'intérieur du contenu de l'image et n'appelle aucune fonction de la page Parent / Conteneur. Cela ne permet pas à ma jQuery d'être exécutée non plus. FYI, la page Parent est Jsfiddle B>.
Le bac à sable peut effectivement être assez pratique dans les tests. Considérons les éléments suivants:
testter.html strong> p> testee.html strong> p> Lors du chargement de testeur.html, vous verrez sur la console Ajouter à la < Code> iframe code> Le "foo = bar" code> qui a été largué partesee.html. p>
Sandbox CODE> Attribut et le cookie est parti - le sandbox a créé un environnement d'exécution séparé pour Testee.html, où il ne reçoit pas la pollution des cookies d'autres pages qui étaient / sont Ouvert dans le navigateur pendant le processus de développement. Ainsi, lorsque vous avez besoin d'un lit d'essai stérile mais que vous ne pouvez pas désactiver le cache du navigateur, voici une solution rapide et simple. P> P>