❏ 站外平台:

Firefox17开始支持HTML5特性——iFrame的Sandbox属性

| 2012-08-24 13:44      

最新的Firefox17 每夜版开始支持HTML5特性——iFrame的Sandbox属性,将有效提升iFrame安全性。

 

具体Bugzilla讨论贴在这里 :Bug 341604

Sandbox属性可以防止如下操作:

  • 访问父页面的DOM(从技术角度来说,这是因为相对于父页面iframe已经成为不同的源了)
  • 执行脚本
  • 通过脚本嵌入自己的表单或是操纵表单
  • 对cookie、本地存储或本地SQL数据库的读写

HTML 5的修订历史页面还提到了sandbox的其他特性:

  • 禁用插件
  • 禁止其他浏览上下文的导航
  • 禁止弹出窗口和模式对话框
  • iFrames因安全问题而臭名昭著,这主要是因为iFrames常常被用于嵌入第三方内容,而后者则可能会执行某些恶意操作。
  • sandbox通过限制被嵌入内容所允许的操作而提升iFrames的安全性。这种方式将沙箱内容与父页面进行了分离,因此限制了被嵌入内容的权限。

来自:http://blog.skeeterhouse.com/?p=5985



最新评论


返回顶部

分享到微信

打开微信,点击顶部的“╋”,
使用“扫一扫”将网页分享至微信。