技术服务
发帖说明
数据导航
资源圈 - ZiYuanQ
»
首页
›
分类
›
站长资料
›
iframe禁止脚本内容点击及弹出窗口
QQ
[代码]
iframe禁止脚本内容点击及弹出窗口
[复制链接]
本站网友
发表于 2024-2-29 12:16
|
阅读模式
sandbox 属性
嵌入的网页默认具有正常权限,比如执行脚本、提交表单、弹出窗口等。如果嵌入的网页是其他网站的页面,你不了解对方会执行什么操作,因此就存在安全风险。为了限制<iframe>的风险,HTML 提供了sandbox属性,允许设置嵌入的网页的权限,等同于提供了一个隔离层,即“沙箱”。
sandbox可以当作布尔属性使用,表示打开所有限制
<iframe src="https://www.example.com" sandbox>
</iframe>
复制代码
sandbox属性可以设置具体的值,表示逐项打开限制。未设置某一项,就表示不具有该权限。
allow-forms:允许提交表单。
allow-modals:允许提示框,即允许执行window.alert()等会产生弹出提示框的 JavaScript 方法。
allow-popups:允许嵌入的网页使用window.open()方法弹出窗口。
allow-popups-to-escape-sandbox:允许弹出窗口不受沙箱的限制。
allow-orientation-lock:允许嵌入的网页用脚本锁定屏幕的方向,即横屏或竖屏。
allow-pointer-lock:允许嵌入的网页使用 Pointer Lock API,锁定鼠标的移动。
allow-presentation:允许嵌入的网页使用 Presentation API。
allow-same-origin:不打开该项限制,将使得所有加载的网页都视为跨域。
allow-scripts:允许嵌入的网页运行脚本(但不创建弹出窗口)。
allow-storage-access-by-user-activation:允许在用户激动的情况下,嵌入的网页通过 Storage Access API 访问父窗口的储存。
allow-top-navigation:允许嵌入的网页对顶级窗口进行导航。
allow-top-navigation-by-user-activation:允许嵌入的网页对顶级窗口进行导航,但必须由用户激活。
allow-downloads-without-user-activation:允许在没有用户激活的情况下,嵌入的网页启动下载。
注意,不要同时设置allow-scripts和allow-same-origin属性,这将使得嵌入的网页可以改变或删除sandbox属性。
允许嵌入的网页运行脚本(但不创建弹出窗口)脚本内容不可点击
<iframe sandbox="allow-scripts" id="mainIframe" src="#" width="100%" height="100%"></iframe>
复制代码
回复
举报
返回列表
删帖注销
|
手机版
|
资源圈
GMT+8, 2024-11-21 16:49
Powered by
Discuz!
© 20022-2026 Comsenz Inc.
快速回复
返回顶部
返回列表