(0) exportieren Drucken
Alle erweitern
0 von 1 fanden dies hilfreich - Dieses Thema bewerten.

Sandkasten

Internet Explorer 10 und Windows Store-Apps mit JavaScript unterstützen jetzt das sandbox-Attribut. Mit dem sandbox-Attribut können Sie Sicherheitseinschränkungen für iframe-Elemente aktivieren, die nicht vertrauenswürdigen Inhalt enthalten. Diese Einschränkungen verbessern die Sicherheit, indem sie verhindern, dass nicht vertrauenswürdiger Inhalt Aktionen ausführt, die zu bösartigem Verhalten führen.

Das sandbox-Attribut ist in Abschnitt 4.8.2 der HTML5-Spezifikation des World Wide Web Consortium (W3C) definiert.

Aktivieren des Sandkastens

Um diese Einschränkungen zu aktivieren, legen Sie das sandbox-Attribut wie im folgenden Codebeispiel fest.


<iframe sandbox src="frame1.html"></iframe>

Wenn das sandbox-Attribut für ein iframe-Element angegeben wird, wird der Inhalt im iframe-Element als Im Sandkasten bezeichnet.

Durch den Sandkasten eingeschränktes Verhalten

Wenn sich iframe-Elemente im Sandkasten befinden, sind die folgenden Aktionen eingeschränkt:

  • Inhalt im Sandkasten kann keine Popupfenster oder neue Browserfenster öffnen. Bei Methoden, die Popupfenster öffnen (wie createPopup(), showModalDialog(), showModelessDialog() und window.open()), treten automatisch Fehler auf.
  • Links können nicht in neuen Fenstern geöffnet werden.
  • Von Inhalt im Sandkasten wird angenommen, dass er von einer eindeutigen Domäne stammt. Dadurch wird der Zugriff auf APIs verhindert, die durch die Richtlinie für denselben Ursprung geschützt sind, wie Cookies, lokaler Speicher und das Dokumentobjektmodell (DOM) anderer Dokumente.
  • Im oberen Fenster kann von Inhalt im Sandkasten nicht navigiert werden.
  • Inhalt im Sandkasten kann keine Formulardaten übermitteln.
  • Plug-Ins (object, applet, embed oder frame) instanziieren nicht.
  • Automatisches Elementverhalten wie meta-Elementaktualisierung, autofocus für input-Steuerelemente und autoplay für audio- und video-Elemente wurde deaktiviert.
  • Ausgewählte Windows Internet Explorer-eigene Features wie HTML-Komponenten, binäre Verhalten, Datenbindung und window.external wurden für Inhalt im Sandkasten deaktiviert.

Anpassen von Sandkasteneinschränkungen

Mithilfe von Internet Explorer 10 und Windows Store-Apps mit JavaScript können Sie ausgewählte Sandkasteneinschränkungen anpassen. Geben Sie hierzu mindestens eines der folgenden Anpassungskennzeichen als Wert des sandbox-Attributs an.

KennzeichenBeschreibung

allow-scripts

Inhalt im Sandkasten darf JavaScript ausführen.

allow-forms

Inhalt im Sandkasten kann Formulare übermitteln.

allow-same-origin

Inhalt im Sandkasten hat Zugriff auf APIs, die durch die Richtlinie für denselben Ursprung geschützt sind, wie lokaler Speicher, Cookies, XMLHttpRequest und in derselben Domäne gehostete Dokumente.

allow-top-navigation

Inhalt im Sandkasten darf die Position des oberen Fensters ändern.

allow-popups

Inhalt im Sandkasten darf Popupfenster öffnen.

Hinweis  Vorabversionen von Internet Explorer 10 unterstützten diesen Wert mit einem Anbieterpräfix. Anwendungen, die ein Anbieterpräfix für diesen Wert verwenden, sollten aktualisiert werden, um die zukünftige Kompatibilität und die Einhaltung von Standards sicherzustellen.

 

Im folgenden Beispiel ist ein iframe-Element im Sandkasten dargestellt, das Anpassungskennzeichen verwendet, um die Einschränkungen für den Inhalt im Element anzupassen.


<iframe sandbox="allow-forms allow-same-origin" src="frame1.html"></iframe>

Dieses Beispiel lässt die Übermittlung von Formularen und den Zugriff auf lokale Datenquellen zu. Mehrere Anpassungskennzeichen werden durch Leerzeichen voneinander getrennt.

Eine interaktive Demo des HTML5-Sandkastens in Aktion finden Sie unter Defense in Depth: HTML5 Sandbox in der IE-Testversion.

API-Referenz

sandbox

Demos für die Internet Explorer-Testversion

Defense in Depth: HTML5 Sandbox

IEBlog-Beiträge

Defense in Depth: Sperren von Mashups mit HTML5 Sandbox

Spezifikation

HTML5: Abschnitte 4.8.2, 5.4

Verwandte Themen

So wird's gemacht: Schützen der Website mit HTML5 Sandbox

 

 

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft. Alle Rechte vorbehalten.