Тег <iframe> Атрибут <sandbox>

Атрибут sandbox позволяет установить ряд ограничений на контент загружаемый во фрейме, к примеру, блокировать формы и скрипты.

Это позволяет повысить безопасность текущего документа, особенно в том случае, когда во фрейм загружается документ из непроверенного источника.

поддержка браузерами:
IExplorer Chrome Opera Safari Firefox Android iOS
10.0+ 4.0+ 15.0+ 5.0+ 17.0+ 2.2 X
спецификация:
HTML: 3.2 4.01 5.0
XHTML: 1.0 1.1
синтаксис:
<iframe src="URL" sandbox="allow-same-origin || allow-top-navigation || allow-forms || allow-scripts">
...
</iframe>
значения:

allow-same-origin - Разрешает загружать содержание фрейма, воспринимая его из того же источника, что и родительский документ. Может использоваться для безопасного открытия контента, блокируя при этом всплывающие окна.

allow-top-navigation - Позволяет открывать ссылки фрейма в родительском документе.

allow-forms - Позволяет содержимому фрейма отправлять формы.

allow-scripts - Разрешает запуск и выполнение скриптов. Создание всплывающих окон при этом запрещено.

Допустимо писать несколько значений в любом порядке через пробел. Если указано пустое значение, то устанавливаются все возможные ограничения.

При одновременном использовании значений allow-scripts и allow-same-origin, когда исходный и загружаемый документ одного происхождения, атрибут sandbox игнорируется.

пример кода:
<!DOCTYPE html>
<html>
 <head>
  <meta charset="utf-8">
  <title>Тег iframe, атрибут sandbox</title>
 </head>
 <body>
  <iframe src="hello.html" sandbox></iframe>
  </body>
</html>

В данном примере во фрейме открывается документ, который через скрипт выводит сообщение. Добавление атрибута sandbox блокирует действие скрипта.