Área restrita

O Internet Explorer 10 e os aplicativos da Windows Store em JavaScript são compatíveis com o atributo sandbox. O atributo sandbox permite restrições de segurança para elementos iframe que têm conteúdo não confiável. Essas restrições aumentam a segurança, impedindo que o conteúdo não confiável realize ações que possam levar a um comportamento possivelmente mal-intencionado.

O atributo sandbox é definido na Seção 4.8.2 da especificação HTML5 do W3C (World Wide Web Consortium).

Habilitando a área restrita

Para habilitar essas restrições, especifique o atributo sandbox, conforme mostrado no exemplo de código a seguir.


<iframe sandbox src="frame1.html"></iframe>

Quando o atributo sandbox é especificado para um elemento iframe, o conteúdo do elemento iframe é considerado como área restrita.

Comportamento restrito por área restrita

Quando elementos iframe estão em área restrita, as seguintes ações são restritas:

  • O conteúdo na área restrita não pode abrir janelas pop-up ou novas janelas do navegador. Métodos que abrem janelas pop-up (como createPopup(), showModalDialog(), showModelessDialog() e window.open()), falham silenciosamente.
  • Não é possível abrir links em novas janelas.
  • O conteúdo em área restrita é considerado parte de um domínio exclusivo, o que impede o acesso a APIs que são protegidas pela política de mesma origem, como cookies, armazenamento local e DOM (Document Object Model) de outros documentos.
  • A janela no topo não pode ser navegada por conteúdo em área restrita.
  • O conteúdo em área restrita não pode enviar dados de formulário.
  • Os plug-ins (object, applet, embed ou frame) não instanciam.
  • O comportamento de elemento automático é desabilitado, incluindo a atualização de elementos meta, autofocus para controles input e autoplay para os elementos audio e video.
  • Os recursos selecionados de propriedade do Windows Internet Explorer são desabilitados para conteúdo em área restrita, incluindo componentes HTML (HTCs), comportamentos binários, vinculação de dados e window.external.

Personalizando restrições da área restrita

O Internet Explorer 10 e os aplicativos da Windows Store que usam JavaScript permitem personalizar restrições selecionadas da área restrita. Para fazer isso, especifique um ou mais dos seguintes sinalizadores de personalização como o valor do atributo sandbox.

SinalizadorDescrição

allow-scripts

O conteúdo na área restrita pode executar JavaScript.

allow-forms

O conteúdo na área restrita pode enviar formulários.

allow-same-origin

O conteúdo em área restrita pode acessar APIs protegidas pela política de mesma origem, incluindo armazenamento local, cookies, XMLHttpRequest e documentos hospedados no mesmo domínio.

allow-top-navigation

O conteúdo na área restrita pode alterar o local da janela no topo.

allow-popups

O conteúdo na área restrita pode abrir janelas pop-up.

Observação  As versões de pré-lançamento do Internet Explorer 10 permitiam esse valor usando o prefixo de um fornecedor. Aplicativos que usam o prefixo de um fornecedor para esse valor devem ser atualizados para garantir compatibilidade futura e conformidade com os padrões.

 

O exemplo seguinte mostra um elemento iframe na área restrita que usa sinalizadores de personalização para personalizar as restrições para o conteúdo no elemento.


<iframe sandbox="allow-forms allow-same-origin" src="frame1.html"></iframe>

Este exemplo permite envio de formulário e acesso às fontes de dados locais. Esteja ciente de que vários sinalizadores de personalização são separados por espaços.

Para ver uma demonstração prática da Área Restrita do HTML5 em ação, consulte Defesa profunda: área restrita do HTML5 no Test Drive do IE.

Referência de API

sandbox

Demonstrações do Test Drive do Internet Explorer

Defesa aprofundada: área restrita do HTML5

Postagens no blog do IE

Defesa aprofundada: bloqueando mashups com a área restrita do HTML5

Especificação

HTML5: Seções 4.8.2, 5.4

Tópicos relacionados

Como proteger seu site com a área restrita do HTML5

 

 

Mostrar:
© 2014 Microsoft