Espacio aislado

Internet Explorer 10 y las aplicaciones de la Tienda Windows con JavaScript admiten el atributo sandbox. El atributo sandbox habilita restricciones de seguridad para elementos iframe que incluyen contenido que no es de confianza. Estas restricciones mejoran la seguridad evitando que el contenido que no sea de confianza realice acciones que puedan causar un comportamiento potencialmente malintencionado.

El atributo sandbox se detalla en la sección 4.8.2 de la especificación HTML5 del World Wide Web Consortium (W3C).

Habilitación de espacio aislado

Para activar estas restricciones, especifica el atributo sandbox, tal y como se muestra en el siguiente código de ejemplo.


<iframe sandbox src="frame1.html"></iframe>

Cuando se especifica el atributo sandbox para un elemento iframe, se dice que el contenido del elemento iframe está en un espacio aislado.

Comportamiento restringido por el espacio aislado

Cuando los elementos iframe se aíslan en un espacio, las siguientes acciones quedan restringidas:

  • El contenido aislado en un espacio no puede abrir ventanas emergentes ni nuevas ventanas del explorador. Los métodos que abren ventanas emergentes (como createPopup(), showModalDialog(), showModelessDialog() y window.open()) devuelven un error silencioso.
  • No es posible abrir vínculos en nuevas ventanas.
  • El contenido en espacio aislado se considera parte de un dominio único, que evita el acceso a API protegidas por la directiva del mismo origen, por ejemplo, cookies, almacenamiento local y el Document Object Model (DOM) de otros documentos.
  • El contenido en espacio aislado no puede explorar la ventana superior.
  • El contenido en espacio aislado no puede enviar datos de formularios.
  • No es posible crear una instancia de los complementos (object, applet, embed o frame).
  • Se deshabilita el comportamiento automático de los elementos, lo que incluye la actualización de elementos meta, autofocus para controles de input y autoplay para elementos de audio y video.
  • Se deshabilitan determinadas características de propiedad de Windows Internet Explorer para contenido en espacio aislado, incluidos los componentes HTML (HTC), comportamientos binarios, enlace de datos y window.external.

Personalización de restricciones de espacio aislado

Internet Explorer 10 y las aplicaciones de la Tienda Windows con JavaScript permiten personalizar las restricciones de espacio aislado seleccionadas. Para hacerlo, especifica una o más de las siguientes marcas de personalización como valor del atributo sandbox.

MarcaDescripción

allow-scripts

El contenido en espacio aislado puede ejecutar JavaScript.

allow-forms

El contenido en espacio aislado puede enviar formularios.

allow-same-origin

El contenido en espacio aislado puede acceder a las API protegidas por la directiva del mismo origen, incluidos el almacenamiento local, cookies, XMLHttpRequest y documentos hospedados en el mismo dominio.

allow-top-navigation

El contenido en espacio aislado puede cambiar la ubicación de la ventana superior.

allow-popups

El contenido en espacio aislado puede abrir ventanas emergentes.

Nota  Las versiones preliminares de Internet Explorer 10 admitían este valor usando un prefijo de proveedor. Las aplicaciones que usan un prefijo de proveedor para este valor deben actualizarse para garantizar la compatibilidad futura y la conformidad con los estándares.

 

El siguiente ejemplo muestra un elemento iframe en espacio aislado que usa marcas de personalización para personalizar las restricciones para el contenido del elemento.


<iframe sandbox="allow-forms allow-same-origin" src="frame1.html"></iframe>

Este ejemplo permite el envío de formularios y el acceso a orígenes de datos locales. Ten en cuenta que las diferentes marcas de personalización se separan por espacios.

Para ver una demostración práctica del espacio aislado de HTML5, consulta Defensa en profundidad: el espacio aislado de HTML5 en la Versión de prueba de IE.

Referencia de API

sandbox

Demostraciones de la versión de prueba de Internet Explorer

Defense in Depth: HTML5 Sandbox

Publicaciones de IEBlog

Defensa en profundidad: bloqueo de mashups con el espacio aislado de HTML5

Especificación

HTML5: secciones 4.8.2, 5.4

Temas relacionados

Cómo proteger tu sitio con el espacio aislado de HTML5

 

 

Mostrar:
© 2015 Microsoft