Firefox17开始支持HTML5特性——iFrame的Sandbox属性

最新的Firefox17 每夜版开始支持HTML5特性——iFrame的Sandbox属性，将有效提升iFrame安全性。

具体Bugzilla讨论贴在这里 ：Bug 341604

Sandbox属性可以防止如下操作：

• 访问父页面的DOM（从技术角度来说，这是因为相对于父页面iframe已经成为不同的源了）
• 执行脚本
• 通过脚本嵌入自己的表单或是操纵表单
• 对cookie、本地存储或本地SQL数据库的读写

HTML 5的修订历史页面还提到了sandbox的其他特性：

• 禁用插件
• 禁止其他浏览上下文的导航
• 禁止弹出窗口和模式对话框
• iFrames因安全问题而臭名昭著，这主要是因为iFrames常常被用于嵌入第三方内容，而后者则可能会执行某些恶意操作。
• sandbox通过限制被嵌入内容所允许的操作而提升iFrames的安全性。这种方式将沙箱内容与父页面进行了分离，因此限制了被嵌入内容的权限。

来自：http://blog.skeeterhouse.com/?p=5985