12
votes

Valeur de l'attribut html5 iframe sandbox

J'ai lu sur l'attribut de sandbox de HTML5 pour </ code> s. Selon la documentation, l'attribut <code> Sandbox </ code> permet à un développeur de restreindre sélectivement quelles actions peuvent être effectuées dans un <code> <iframe> </ code>. L'attribut Sandbox est-il purement une mesure de sécurité? Est-ce que l'attribut </ code> Sandbox </ CODE> activer les concepteurs Web à implémenter des nouvelles fonctionnalités et que, si oui, quelqu'un peut-il indiquer des exemples? </ P> </div>  <div class="d-flex mt-1"> <div class=""> <a class="badge badge-info" href="/tag/html">html</a> <a class="badge badge-info" href="/tag/iframe">iframe</a> <a class="badge badge-info" href="/tag/attributes">attributes</a> <a class="badge badge-info" href="/tag/sandbox">sandbox</a> </div> </div> <hr>  <div class="pl-5"> <small class="text-muted">0 commentaires</small> <div class="comments mt-3"> </div> </div> </div> <div class=""> <ins class="adsbygoogle" style="display:block" data-ad-client="ca-pub-5975820494937925" data-ad-slot="2186005983" data-ad-format="auto" data-full-width-responsive="true"></ins> <script> (adsbygoogle = window.adsbygoogle || []).push({}); </script> </div> </div>  <p class="mt-4 font-weight-bold">4 Réponses :</p> <hr> <div class="row mt-3"> <div class="col-lg-1 col-md-2 col-2 col-sm-2 text-center pt-1 mx-0 px-0"> <div class="badge badge-score"> 2<br> votes </div> </div> <div class="col-lg-11 col-md-10 col-10 col-sm-10"> <div class="body-content"> <p> L'attribut Sandbox n'active aucune fonctionnalité supplémentaire, il ne limite que la fonctionnalité de l'IFrame. La seule raison de l'utiliser est comme une mesure de sécurité. </ P> </div> <hr>  <div class="pl-5"> <small class="text-muted">0 commentaires</small> <div class="comments mt-3"> </div> </div> </div> </div> <hr> <div class="row mt-3"> <div class="col-lg-1 col-md-2 col-2 col-sm-2 text-center pt-1 mx-0 px-0"> <div class="badge badge-score"> 2<br> votes </div> </div> <div class="col-lg-11 col-md-10 col-10 col-sm-10"> <div class="body-content"> <p> L'iframe <code> Sandbox </ code> est purement une fonctionnalité de sécurité. Une bonne ressource est toujours le W3 <A HREF="http://www.w3.org/tr/html5/Embedded-Content-0.html#attr-iframe-sandbox" Rel="nofollow"> Spécification HTML5 </ a>. </ p> <BlockQuote> <p> Lorsque l'attribut est défini, le contenu est traité comme étant provenant d'une origine unique, des formulaires, des scripts et diverses API potentiellement gênants sont désactivés, des liens sont empêchés de cibler d'autres contextes de navigation et des plugins sont sécurisés. </ P> </ blockQuote> </div> <hr>  <div class="pl-5"> <small class="text-muted">4 commentaires</small> <div class="comments mt-3"> <p class="answer-comment"> Ainsi, l'attribut Sandbox vous permettra de faire des choses avec des iframes sur «HTTPS» que vous ne pouvez précédemment faire qu'avec 'http'? </p> <hr> <p class="answer-comment"> L'attribut </ code> sandbox </ code> ajoute des restrictions. Les mots-clés réacquent la fonctionnalité Le <code> iframe </ code> aurait déjà dépassé l'attribut </ code> sandbox </ code>. </p> <hr> <p class="answer-comment"> Ce que je demande est, existe-t-il des circonstances dans lesquelles une iframe non-Sandbox va casser https mais une iframeboxyboxed iframe ne sera pas. </p> <hr> <p class="answer-comment"> Je pense que vous devriez mettre à jour votre question et votre titre pour spécifier cela. </p> <hr> </div> </div> </div> </div> <hr> <div class="row mt-3"> <div class="col-lg-1 col-md-2 col-2 col-sm-2 text-center pt-1 mx-0 px-0"> <div class="badge badge-score"> 10<br> votes </div> </div> <div class="col-lg-11 col-md-10 col-10 col-sm-10"> <div class="body-content"> <p> Eh bien, c'est purement une fonctionnalité de sécurité, mais elle <em> fait </ em> permet également de nouvelles fonctionnalités. Prenons par exemple l'intégration de contenu tiers (utilisateur) (par exemple, fichiers HTML). Traditionnellement, vous auriez besoin de configurer un domaine séparé à partir duquel vous serviriez ce contenu, mais vous pouvez simplement le servir de partout où vous le souhaitez et que vous l'avez traité comme s'il s'agit d'un domaine distinct. </ p> <p> En plus de cela, il peut empêcher ce contenu tiers de faire certaines choses, que vous n'auriez pas pu empêcher précédemment comme: </ p> <ul> <li> <code> Autoriser-top-navigation </ code>: Empêcher de la rupture de </ li> <li> <code> Autoriser-Pointer-Lock </ Code>: Empêcher le curseur Hostage </ Li> <LI> <code> Autoriser-popups </ CODE>: Empêcher la rupture de popups </ li> <li> <code> Autoriser-scripts </ code>: bloquer simplement tous les scripts (aurait également pu être effectué via csp) </ li> </ ul> <p> Réaliste la combinaison de l'attribut </ code> Sandbox </ code> combiné à des en-têtes CSP contrôlés donne une quantité incroyable de contrôle pour exécuter un code tiers dans un environnement sûr. Ce n'est pas encore à 100%, mais nous deviendrons assez près. </ P> </div> <hr>  <div class="pl-5"> <small class="text-muted">5 commentaires</small> <div class="comments mt-3"> <p class="answer-comment"> Il autorise donc HTTPS d'être utilisé dans des situations où elle n'aurait pas pu être utilisée? </p> <hr> <p class="answer-comment"> @Benpearce Je n'ai aucune idée de ce que vous voulez dire avec cette question ... Https peut et pourrait être utilisé n'importe où où HTTP pourrait être utilisé et qu'il n'a rien à voir avec tout cela aussi loin que je peux penser maintenant (bien que je puisse oublier quelque chose ...). </p> <hr> <p class="answer-comment"> Je parle de l'icône "verrouillage" de l'URL, qui signifie que le site répond à une exigence de sécurité. Un iframe régulier peut-il casser cela et, si oui, peut-il la conserver? </p> <hr> <p class="answer-comment"> @Benpearce Ah, des avertissements de contenu mixtes et similaires? Autant que je ne connaisse aucun navigateur utilise <code> Sandbox </ code> pour affecter ces avertissements. La raison en laquelle cela serait probablement que déterminerait que l'URL de chargement se passe toujours dans l'environnement sécurisé, de sorte que le bac à sable insécurisé autoriserait toujours beaucoup d'exploits de sécurité et donner une fausse sens de la sécurité à l'utilisateur. </p> <hr> <p class="answer-comment"> <b> "Autoriser" </ B> signifie <B> "Empêcher" </ B>? Donc, pour <B> Autoriser tout </ B> signifie que nous devons <B> Supprimer l'attribut Sandbox </ B> entièrement? Même pour que je ne puisse pas faire mon bouton de contenu de mon cadre qui invoque le code de code JQuery non plus. Mon code JQuery est à l'intérieur du contenu de l'image et n'appelle aucune fonction de la page Parent / Conteneur. Cela ne permet pas à ma jQuery d'être exécutée non plus. FYI, la page Parent est <B> Jsfiddle </ B>. </p> <hr> </div> </div> </div> </div> <hr> <div class="row mt-3"> <div class="col-lg-1 col-md-2 col-2 col-sm-2 text-center pt-1 mx-0 px-0"> <div class="badge badge-score"> 3<br> votes </div> </div> <div class="col-lg-11 col-md-10 col-10 col-sm-10"> <div class="body-content"> <p> Le bac à sable peut effectivement être assez pratique dans les tests. Considérons les éléments suivants: <p> <strong> testter.html </ strong> </ p> <pré> xxx </ pré> <p> <strong> testee.html </ strong> </ p> <pré> xxx </ pré> <p> Lors du chargement de testeur.html, vous verrez sur la console <code> "foo = bar" </ code> qui a été largué partesee.html. </ p> <p> Ajouter à la < Code> iframe </ code> Le <code> Sandbox </ CODE> Attribut et le cookie est parti - le sandbox a créé un environnement d'exécution séparé pour Testee.html, où il ne reçoit pas la pollution des cookies d'autres pages qui étaient / sont Ouvert dans le navigateur pendant le processus de développement. Ainsi, lorsque vous avez besoin d'un lit d'essai stérile mais que vous ne pouvez pas désactiver le cache du navigateur, voici une solution rapide et simple. </ P> </ P> </div> <hr>  <div class="pl-5"> <small class="text-muted">0 commentaires</small> <div class="comments mt-3"> </div> </div> </div> </div> <hr> </div> <div class="col-lg-3 col-md-12 col-12 col-sm-12" > <div class="related"> <iframe src="https://rcm-eu.amazon-adsystem.com/e/cm?o=8&p=12&l=ez&f=ifr&linkID=b777da379e25dfc65f34887292b82918&t=birdy0c-21&tracking_id=birdy0c-21" width="300" height="250" scrolling="no" border="0" marginwidth="0" style="border:none;" frameborder="0">

Articles qui pourrait vous intéresser :


                                            
                            Google Chrome Uncaught (promis) DOMException lors de la lecture AUDIO                        
                        
                                            
                            Select2 ne s'affiche pas correctement dans le mode bootstrap                        
                        
                                            
                            Le bootstrap de Twitter a-t-il des classes utilitaires de taille de police?                        
                        
                                            
                            Comment puis-je définir un format pour les nombres d'entrée dans Blazor