Element-Referenz
HTML 5 doctype - weil html einfach einfach ist.
nach oben

sandboxNEU

Bedeutung

Sicherheitsrichtlinien für die Scriptkommunikation mit Inhalten eines eingebetteten Frames


Elemente

Kann gemäß der HTML5 Spezifikation innerhalb der folgenden Elemente vorkommen:

Das Attribut sandbox kann in zum <iframe> Element<iframe> vorkommen.


Attribut-Werte

Defaultwert ist fett dargestellt:
allow-same-origin
Dieser Attribut-Wert weist den Browser an, die per Inline-Frame eingebettete Webseite so zu behandeln, als würde sie aus derselben Quelle (Origin) stammen wie das einbindende HTML-Dokument.
Die Same-Origin-Policy für das iframe Element wird aufgehoben.
allow-top-navigation
Dieser Attribut-Wert weist den Browser an, dass die per Inline-Frame eingebettete Webseite die Link-Navigation der einbettenden Webseite beeinflusst. Enthält die per Inline-Frame eingebettete Webseite beispielsweise Verweise mit einer Angabe wie <a href="seite.html" target="_top">, wird beim Anklicken das gesamte aktuelle Fenster geändert und nicht nur der Inhalt der per Inline-Frame eingebettete Webseite.
allow-forms
Dieser Attribut-Wert weist den Browser an, dass die per Inline-Frame eingebettete Webseite Formulare enthalten darf und demnach Eingaben abfragen oder erzwingen kann. Für den Benutzer ist möglicherweise nicht erkennbar, dass das in einem eingebetteten Frame aufgerufene Formular nicht von der aufgerufenen Webseite stammt.
allow-scripts
Dieser Attribut-Wert weist den Browser an, dass die per Inline-Frame eingebettete Webseite Script-Code enthalten darf und somit auf die eingebettete Webseite zugreift. Dieses Script kann somit aus dem eingebetteten Frame beispielsweise Inhalte der einbettenden Webseite manipulieren.

Erläuterung

Werden Inhalte über eingebettete Frames eingebunden, so gilt in allen modernen Browsern die sogenannte Same-Origin-Policy (SOP), dieses Sicherheitskonzept verhindert das eingebundene Inhalte von fremden Webseiten, nicht auf Objekte der einbindende Webseite zugreifen und diese gegebenenfalls manipulieren können. Unter Umständen kann es jedoch notwendig sein eingebundenen Inhalten von fremden Webseiten genau diesen Zugriff zu ermöglichen und die Same-Origin-Policy zu lockern. Um dem Browser die Berechtigungen eines eingebetteten Frames zu übermitteln, stellt HTML5 das Attribut sandbox bereit, dem ein oder mehrere der folgenden Werte zugewiesen werden können.

Wie bereits erwähnt, können dem Attribut sandbox einzelne Werte wie <iframe sandbox="allow-same-origin"> oder mehrere aufeinanderfolgende Werte wie <iframe sandbox="allow-forms allow-scripts allow-top-navigation"> zugewiesen werden. Die Nutzung des sandbox Attributs sollte nur erfolgen, wenn die per Inline-Frame eingebettete Webseite dies zwingend erfordert und bekannt ist welche Formulardaten bzw. Scripte von der eingebetteten Webseite gefordert bzw. ausgeführt werden.

Sandbox Nutzung innerhalb der eigenen Webseite

Bei dynamischen Webseiten, kann es erforderlich sein Inhalte die von Nutzern eingegeben werden und möglicherweise schadhaften Code enthalten könnten die Same-Origin-Policy zu entziehen. Für diesen Fall kann das sandbox Attribut auch wie im folgenden Beispiel als Standalone Attribut notiert werden.

<iframe sandbox src="NutzerBeitraege.php?id=110">

In diesem Fall wird das vom eigenen Server stammende PHP-Script, welches normalerweise unter die Same-Origin-Policy fallen würde, als ein von einem fremden Server stammendes PHP-Script deklariert.


Tastaturkürzel