Risiken und Chancen
Ratgeber: HTML5 sicher einsetzen
Sicher: iFrames mit Sandbox
Zum Glück gibt es auch unumstritten gute Nachrichten in Sachen HTML5-Sicherheit. Sie betreffen zum Beispiel das iframe-Tag, das eine externe Seite innerhalb der eigenen Webpräsenz aufruft.
Bisher konnten iframe-Bereiche relativ einfach manipuliert werden - in HTML5 sorgt das neue Attribut sandbox dafür, dass dies ungleich schwieriger wird. Mittels sandbox können im iframe Festlegungen getroffen werden, was erlaubt ist und was nicht.
<iframe sandbox="allow-same-origin">...</iframe>
Damit wird geregelt: Obwohl auf der Website generell Scripting erlaubt ist, gilt dies nicht für den Bereich der Sandbox. Die eingebundene Website wird aber im DOM berücksichtigt.
<iframe sandbox="allow-top-navigation">...</iframe>
Bei dieser Einschränkung kann in den Webseiten innerhalb des iframe-Bereichs navigiert werden. Eine Ausweitung der Navigation auf die übergeordnete Webseite ist hingegen nicht möglich.
<iframe sandbox="allow-forms">...</iframe>
Dieses Attribut erlaubt keine Übertragung von Formulardaten innerhalb der Sandbox.
<iframe sandbox="allow-scripts">...</iframe>
Bei diesem Attribut wird im Sandbox-Bereich das Scripting nicht erlaubt, wenn mindestens eine der nachfolgenden Bedingungen unerfüllt bleibt:
-
Der User-agent unterstützt Scripting.
-
Der Nutzer hat für diese Webseite das Scripting zugelassen.
-
Die Webseite hat kein Flag für Scripting in der Sandbox. Diese
Bedingung gilt für den Moment, in dem die Webseite im Browser aufgebaut wird.