用于限制iframe的跨域行为
sandbox是html5的新属性,主要是提高iframe安全系数。iframes因安全问题而臭名昭著,这主要是因为iframes常常被用于嵌入第三方内容,而后者则可能会执行某些恶意操作。这样可以有效防止iframe对父页面进行攻击(禁用插件,禁止其他浏览上下文的导航,禁止弹出窗口和模式对话框)。sandbox通过限制被嵌入内容所允许的操作而提升iframes的安全性。这种方式将sandbox内容与父页面进行了分离,因此限制了被嵌入内容的权限。它可以防止如下操作:
◆访问父页面的DOM(从技术角度来说,这是因为相对于父页面iframe已经成为不同的源了)
◆执行脚本
◆通过脚本嵌入自己的表单或是操纵表单
