Firefox17开始支持HTML5特性——iFrame的Sandbox属性

最新的Firefox17 每夜版开始支持HTML5特性——iFrame的Sandbox属性,将有效提升iFrame安全性。

Firefox17开始支持HTML5特性——iFrame的Sandbox属性

 

具体Bugzilla讨论贴在这里 :Bug 341604

Sandbox属性可以防止如下操作:

  • 访问父页面的DOM(从技术角度来说,这是因为相对于父页面iframe已经成为不同的源了)
  • 执行脚本
  • 通过脚本嵌入自己的表单或是操纵表单
  • 对cookie、本地存储或本地SQL数据库的读写

HTML 5的修订历史页面还提到了sandbox的其他特性:

  • 禁用插件
  • 禁止其他浏览上下文的导航
  • 禁止弹出窗口和模式对话框
  • iFrames因安全问题而臭名昭著,这主要是因为iFrames常常被用于嵌入第三方内容,而后者则可能会执行某些恶意操作。
  • sandbox通过限制被嵌入内容所允许的操作而提升iFrames的安全性。这种方式将沙箱内容与父页面进行了分离,因此限制了被嵌入内容的权限。

来自:http://blog.skeeterhouse.com/?p=5985

Firefox17开始支持HTML5特性——iFrame的Sandbox属性

原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/industrynews/44144.html

(0)
上一篇 2021年8月5日 15:17
下一篇 2021年8月5日 15:17

相关推荐

发表回复

登录后才能评论