Ratgeber: HTML5 sicher einsetzen

Sicher: iFrames mit Sandbox

Zum Glück gibt es auch unumstritten gute Nachrichten in Sachen HTML5-Sicherheit. Sie betreffen zum Beispiel das iframe-Tag, das eine externe Seite innerhalb der eigenen Webpräsenz aufruft.

Bisher konnten iframe-Bereiche relativ einfach manipuliert werden - in HTML5 sorgt das neue Attribut sandbox dafür, dass dies ungleich schwieriger wird. Mittels sandbox können im iframe Festlegungen getroffen werden, was erlaubt ist und was nicht.

<iframe sandbox="allow-same-origin">...</iframe>

Damit wird geregelt: Obwohl auf der Website generell Scripting erlaubt ist, gilt dies nicht für den Bereich der Sandbox. Die eingebundene Website wird aber im DOM berücksichtigt.

<iframe sandbox="allow-top-navigation">...</iframe>

Bei dieser Einschränkung kann in den Webseiten innerhalb des iframe-Bereichs navigiert werden. Eine Ausweitung der Navigation auf die übergeordnete Webseite ist hingegen nicht möglich.

<iframe sandbox="allow-forms">...</iframe>

Dieses Attribut erlaubt keine Übertragung von Formulardaten innerhalb der Sandbox.

<iframe sandbox="allow-scripts">...</iframe>

Bei diesem Attribut wird im Sandbox-Bereich das Scripting nicht erlaubt, wenn mindestens eine der nachfolgenden Bedingungen unerfüllt bleibt:

• Der User-agent unterstützt Scripting.

• Der Nutzer hat für diese Webseite das Scripting zugelassen.

• Die Webseite hat kein Flag für Scripting in der Sandbox. Diese

Bedingung gilt für den Moment, in dem die Webseite im Browser aufgebaut wird.