HTML/Attribute/sandbox

Aus SELFHTML-Wiki
Wechseln zu: Navigation, Suche

Das sandbox-Attribut bewirkt, dass die im iframe dargestellte Ressource Aktionen, die potenziell unsicher sind oder den Benutzer verwirren könnten, verhindert werden und explizit freigeschaltet werden müssen.

erlaubte Werte

eine durch Leerzeichen getrennte Liste der folgenden Schlüsselwörter. Alle Erlaubnisse, die auf diese Weise nicht explizit erteilt werden, sind verweigert!

  • allow-downloads: Erlaubt Downloads, sofern sie durch eine Benutzeraktion ausgelöst werden
  • allow-downloads-without-user-acivation: (experimentell) Erlaubt Downloads auch ohne Benutzeraktion
  • allow-forms: Der iframe darf Formulare absenden.
  • allow-modals: Erlaubt die Anzeige modaler Dialoge durch alert, confirm, print, prompt und das beforeunload-Event
  • allow-orientation-lock: Der Inhalt des iframe darf die Bildschirmorientierung sperren
  • allow-pointer-lock Erlaubt den Zugriff auf das Pointer Lock API (Ausblenden des Mauszeigers, begrenzen des Mauszeigers auf bestimmte Elemente).
  • allow-popups: Erlaubt das Öffnen zusätzlicher Fenster (oder Tabs) durch window.open() oder target="_blank".
  • allow-popups-to-escape-sandbox: Erlaubt, dass geöffnete Popups nicht mehr dem Sandboxing unterliegen. Beispielsweise könnte eine Werbeanzeige im iframe beschränkt werden, aber wenn man sie anklickt, wird er beworbene Inhalt in einem neuen Fenster ohne Restriktionen geöffnet.
  • allow-presentation: Erlaubt den Gebrauch des Presentation API
  • allow-same-origin: Ohne diese Erlaubnis wird allen Inhalte des iframe der same-origin-Status verweigert, auch wenn sie den gleichen Origin haben
  • allow-scripts: Erlaubt die Ausführung von JavaScript. Dies ist eine Basiserlaubnis, sie schließt Erlaubnisse wie allow-popups oder allow-modals nicht ein.
    Beachten Sie: Verwenden Sie allow-scripts und allow-same-origin nicht gemeinsam. Es ermöglicht dem iframe, das sandbox-Attribut zu entfernen. Wenn Sie Scripte und Same-Origin benötigen, muss die Seite im iframe so vertrauenswürdig sein, dass Sie auf Sandboxing ganz verzichten können.
  • allow-storage-access-by-user-activation: (experimentell) Erlaubt den Zugriff auf das Storage Access API
  • allow-top-navigation: Erlaubt dem iframe, in der einbettenden Seite eine Navigation auslösen
  • allow-top-navigation-by-user-activation: Erlaubt dem iframe, in der einbettenden Seite eine Navigation auslösen, sofern dies durch eine Benutzeraktion ausgelöst wird
default-Wert Leerstring, d.h. sämtliche Sandbox-Sperren sind in Kraft
erlaubt in iframe
Browsersupport Details bei caniuse.com: {{{caniuse}}}
Beispiel
<iframe 
  sandbox="allow-scripts allow-popups allow-forms"
  src="https://platform.twitter.com/widgets/tweet_button.html"
  style="border: 0; width:130px; height:20px;">
</iframe>
Im Beispiel wird twitter in einem iframe gezeigt. Das Absenden von Formularen, Scripting und Popups ist wieder ermöglicht worden.


Siehe auch

Weblinks