mozilla

Compare Revisions

<iframe>

Change Revisions

Revision 301383:

Revision 301383 by teoli on

Revision 301461:

Revision 301461 by David-Sarah Hopwood on

Title:
iframe
iframe
Slug:
HTML/Element/iframe
HTML/Element/iframe
Tags:
"Fixit", "NeedsTechnicalReview", "HTML:Element Reference", "HTML:Element", "HTML"
"Fixit", "NeedsTechnicalReview", "HTML:Element Reference", "HTML:Element", "HTML"
Content:

Revision 301383
Revision 301461
n175            <li>When the embedded document have the same origin tn175            <li>When the embedded document has the same origin as
>han the main page, it is strongly discouraged to use both <code>a> the main page, it is strongly discouraged to use both <code>allo
>llow-scripts</code> and <code>allow-same-origin</code> at the sam>w-scripts</code> and <code>allow-same-origin</code> at the same t
>e time, as they allow the embedded document to programmatically r>ime, as that allows the embedded document to programmatically rem
>emove the <code>sandbox</code> attribute: though allowed, it basi>ove the <code>sandbox</code> attribute. Although it is accepted, 
>cally consists in not putting the <code>sandbox</code> attribute >this case is no more secure than not using the <code>sandbox</cod
>in the first place and don't bring any extra security at all.>e> attribute.
t177            <li>Sandboxing in general is only of minimal help if t177            <li>Sandboxing in general is only of minimal help if 
>the attacker can convince the user the hostile content directly, >the attacker can arrange for the potentially hostile content to b
>rather than in an <code>iframe</code>. It is recommended that suc>e displayed in the user's browser outside a sandboxed&nbsp;<code>
>h content should be served from a <em>separate dedicated domain</>iframe</code>. It is recommended that such content should be serv
>em>, to limit the potential damage.>ed from a <em>separate dedicated domain</em>, to limit the potent
 >ial damage.

Back to History