谈谈iframe sandbox

iframe很多网站都在用,虽然方便,不过却存在安全问 
题。

whatwg提出了sandbox沙盒属性,目的在于监控跨域和脚本 
启动。sandbox值有allow-same-origin, allow-forms, 和 allow- 
scripts。如果只是单纯的sandbox属性没有值,那就是实行 
最大限制,这样iframe内容属于不同域,不能实行脚本和 
表单。

比方如果sandbox="allow-same-origin, allow-script" 那就表示iframe 
和母页可以互相抓取DOM(我猜),同时也让iframe可以执 
行脚本。


Regards,

Zi Bin Cheah / 谢子斌

Web Evangelist
/ Developer Relations / Site Compatibility / Products Group /

Opera Software ASA, Oslo, Norway
+ 47 23 69 25 81 / twitter: zibin

Received on Wednesday, 29 September 2010 22:52:40 UTC