不加任何值的 sandbox 属性默认启用最严格的隔离策略:所有能力(脚本、表单、插件、弹窗、跨域请求等)均被禁用,iframe 完全丧失主动行为权。
iframe sandbox 属性默认开启哪些限制
不加任何值的 sandbox 属性会启用**最严格的隔离策略**:所有能力都被禁用,包括脚本执行、表单提交、插件加载、弹窗、跨域请求等。此时 等价于完全剥夺 iframe 的主动行为权。
常见误操作是只写 sandbox 却期望 JS 能运行或链接能跳转——这不会生效。必须显式添加对应 token 才能解锁能力。
sandbox 允许的权限 token 及实际效果
每个 token 控制一项具体能力,可空格分隔多个值。关键 token 包括:
-
allow-scripts:允许执行 JS(但依然受同源策略限制,且无法访问父页面 DOM) -
allow-same-origin:**仅当与父页同源时才可启用**;否则该 token 会被浏览器忽略;启用后 iframe 才能以“同源”身份读写 localStorage、发起同源 fetch -
allow-forms:允许提交表单(否则提交会静默失败) -
allow-popups:允许调用window.open()或target="_blank"弹出新窗口 -
allow-downloads:允许通过download属性触发下载(Chrome 89+ 支持)
注意:allow-same-origin 和 allow-scripts 同时存在时,iframe 内脚本才能访问自身 origin 的存储和 API;但**仍不能访问父页面的 window 或 document**——sandbox 的 DOM 隔离是强制的。
立即学习“前端免费学习笔记(深入)”;
常见错误配置与对应现象
以下写法看似合理,实则存在安全隐患或功能失效:
- 只写
sandbox="allow-scripts":JS 可运行,但所有 fetch/XHR 请求因缺少同源权限而被拒绝(Failed to execute 'fetch' on 'Window': Cannot access 'https://xxx' from origin 'null') - 错误地写成
sandbox="allow-scripts allow-same-origin"并指向跨域地址:浏览器会直接忽略allow-same-origin,iframe 仍被视为nullorigin,localStorage 读写报错SecurityError - 遗漏
allow-forms却使用:点击提交无反应,控制台无报错,行为静默失败
安全底线:只要 iframe 加载的是不可信内容(如用户生成 HTML、第三方广告),就**不要加 allow-same-origin**;哪怕加了,也需确保其 URL 确实与父页同源(协议、域名、端口全一致)。
完整可用示例与注意事项
假设你有一个本地托管的、可信的交互式图表页面 /chart.html,需要在当前页嵌入并允许其 JS 运行、读写自身 localStorage、提交配置表单:
若该 iframe 实际加载的是 https://third-party.com/widget.js,则必须去掉 allow-same-origin,否则它既得不到同源权限,又因 token 无效而白加——正确写法应为:
真正容易被忽略的一点:sandbox 是**HTML 解析时即生效的硬性策略**,JavaScript 动态设置 iframe.sandbox = "allow-scripts" 不会起作用;必须在标签中声明,或通过服务端渲染/模板拼接写死。
