Атрибут sandbox
HTML5
Оновлено: 20.06.2022
Атрибут sandbox
Атрибут sandbox дозволяє встановити низку обмежень на контент, що завантажується у фреймі, наприклад, блокувати форми та скрипти. Це дозволяє підвищити безпеку поточного документа, особливо в тому випадку, коли у фрейм завантажується документ із неперевіреного джерела.
Синтаксис
<iframe src="URL" sandbox="allow-same-origin || allow-top-navigation ||
allow-forms || allow-scripts"></iframe>Значення
| allow-forms | Дозволяє вмісту фрейму надсилати форми. |
| allow-modals | Дозволяє відкриття модальних вікон, на зразок тих, що робляться за допомогою функції alert в JavaScript. |
| allow-orientation-lock | Дозволяє вимкнути можливість блокування екрана. |
| allow-pointer-lock | Дозволяє фрейму використовувати Pointer Lock API. |
| allow-popups | Дозволяє спливаючі вікна (такі як window.open, target="_blank", showModalDialog). |
| allow-presentation | Дозволяє фрейму використовувати Presentation API. |
| allow-same-origin | Дозволяє завантажувати зміст фрейму, сприймаючи його з того ж джерела, з якого й батьківський документ. Може використовуватися для безпечного відкриття контенту, блокуючи при цьому спливаючі вікна. |
| allow-scripts | Дозволяє запуск та виконання скриптів. Створення спливаючих вікон заборонено. |
| allow-top-navigation | Дозволяє відкривати посилання фрейму в батьківському документі. |
Допустимо писати декілька значень у будь-якому порядку через пробіл. Якщо вказано порожнє значення, то встановлюються всі обмеження.
При одночасному використанні значень allow-scripts та allow-same-origin, коли вихідний та завантажуваний документ одного походження, атрибут sandbox ігнорується.
Значення за замовчуванням
Немає.
Приклад
У цьому прикладі у фреймі відкривається документ, який через скрипт виводить повідомлення. Додавання sandbox атрибута блокує дію скрипта.