HTML5 bietet erweiterte Sicherheit beim iframe Tag

Posted in Allgemeines, HTML, HTML5 on 01/06/2011 10:19 by Hoegerl_Karl

Der HTML Befehl iframe wird häufig genutzt, um eine weitere Webseite innerhalb der aufgerufenen Webseite darzustellen. Allerdings kann dieser Bereich unter Umständen gehackt werden. Aus diesem Grund wird bei HTML5 eine neue Sicherheitsfunktion durch das Attribut sandbox zur Verfügung gestellt.

Mit dem Attribut sandbox können im iframe Einschränkungen gemacht werden

<iframe sandbox=”allow-same-origin">...</iframe>

  1. Obwohl Scripting auf der Webseite erlaubt ist, gilt dies nicht für den Bereich der Sandbox. Die mit dem iframe eingebundene Webseite mit dem Attribut sandbox wird aber im DOM berücksichtigt.
  2. Die eingebundene Webseite von einer anderen URL eingebunden werden, denn es werden sich keine Popup-Fenster öffnen. Eine Kommunikation der fremden Webseite über Datenbank APIs zum Speichern von Daten oder ähnlichen Funktionen ist möglich.

<iframe sandbox=”allow-top-navigation">...</iframe>

Bei dieser Einschränkung kann in den Webseiten innerhalb des iframes Bereichs navigiert werden. Eine Ausweitung der Navigation auf die übergeordnete Webseite ist nicht möglich.

<iframe sandbox=”allow-forms">...</iframe>

Dieses Attribut erlaubt keine Übertragung von Formulardaten innerhalb des Sandbox Bereichs.

<iframe sandbox=”allow-scripts">...</iframe>

Bei diesem Attribut wird im Sandbox Bereich das Scripting nicht erlaubt, wenn eine der nachfolgenden Bedingungen nicht erfüllt ist.

  1. Der User-agent unterstützt Scripting.
  2. Der Nutzer hat für diese Webseite das Scripting zugelassen
  3. Für die Webseite hat kein Flag für Scripting in der Sandbox. Diese Bedingung gilt für den Moment, in dem die Webseite im Browser aufgebaut wird.

Fazit:

Das Attribut sandbox bietet bei eingebundenen Webseiten eine höhere Sicherheit. Bis aber diese Funktionen in den Browsern genutzt werden kann, wird teilweise noch einige Zeit verstreichen. Denn die komplette Implementierung von HTML5 und CSS3 in die Browser dauert nach meiner Erfahrung mehrere Jahre. Bis dahin müssen Entwickler genau prüfen, welche Webseiten mit Hilfe des Tag <iframe> verbunden werden!

Zuletzt aktualisiert von .