Firefox17开始支持HTML5特性——iFrame的Sandbox属性
| 2012-08-24 13:44
最新的Firefox17 每夜版开始支持HTML5特性——iFrame的Sandbox属性,将有效提升iFrame安全性。
具体Bugzilla讨论贴在这里 :Bug 341604
Sandbox属性可以防止如下操作:
- 访问父页面的DOM(从技术角度来说,这是因为相对于父页面iframe已经成为不同的源了)
- 执行脚本
- 通过脚本嵌入自己的表单或是操纵表单
- 对cookie、本地存储或本地SQL数据库的读写
HTML 5的修订历史页面还提到了sandbox的其他特性:
- 禁用插件
- 禁止其他浏览上下文的导航
- 禁止弹出窗口和模式对话框
- iFrames因安全问题而臭名昭著,这主要是因为iFrames常常被用于嵌入第三方内容,而后者则可能会执行某些恶意操作。
- sandbox通过限制被嵌入内容所允许的操作而提升iFrames的安全性。这种方式将沙箱内容与父页面进行了分离,因此限制了被嵌入内容的权限。
来自:http://blog.skeeterhouse.com/?p=5985