| 項 目 | 説 明 |
|---|---|
| 記述形式 | sandbox="次の欄の値" |
| 値 の形式 | allow-forms,allow-pointer-lock,allow-popups, allow-same-origin,allow-scripts,allow-top-navigation |
| 対応ブラウザー | C?+ / e?+ / N?+ / Fx?+ / Op?+ / Ch?+ / Sa?+ |
| 適用可能な要素 (種 類) |
<iframe> (固有属性) |
| 継 承 | しない |
sandbox属性 は,
この属性を キーワードなしで指定 すると,
ただし,以下の6つの 値を指定することで,部分的に制限を解除 することができます。 また,値を指定する場合,半角スペースで区切って2つ以上の値を指定することも可能です。
| 値 | 説 明 |
|---|---|
| allow-forms | フォームからのデータ送信を許可します。 |
| allow-pointer-lock | ポインタ・ロック API の実行を許可します。 |
| allow-popups | ポップアップ・ウィンドウの表示を許可します。 |
| allow-same-origin | 親のドキュメントと 同一生成元 (same origin) と見なし,親ドキュメントで利用できる機能は利用可能にします。 |
| allow-scripts | スクリプト(ポップアップを除く)の実行を許可します。 |
| allow-top-navigation | 最上位のブラウジング・コンテキストへのナビゲーションを許可します。 |
allow-scripts と allow-same-origin の2つの値を指定すると,sandbox属性 は 無効 となり, この属性の指定がない場合と同様の動作 となります。
この sandbox属性 による指定は,コンテンツがロードされて表示される際に効力を持ちます。 従って,この sandbox属性 の値を変更したり,または,属性全体を削除しても,すでに表示されているページの表示内容には,何の変化もありません。
もし可能であれば,親文書のファイルと, iframe要素 を含むファイルとは,別のサーバーから供給すべきです。 つまり,アタッカーが,iframe要素 を経由しなくても,ユーザーを親文書のコンテンツに直接アクセスするように誘導可能な状況であれば,iframe要素 をサンドボックス化しても,あまり大きな助けにはなりません。 従って,親の HTML コンテンツでのダメージを最小限に抑えるためには,それぞれ別の専用のドメインから供給するべきです。 つまり,異なるドメインにすれば,確実に,iframe要素 を含むファイル中のスクリプトから,サイトを攻撃できないようにすることが可能です。 たとえ,ユーザーがそれらのページに直接アクセスするように偽装が仕掛けられたとしても,sandbox属性 による保護がない場合でもです。
現在準備中です。