iframe in HTML 5

HTML 5 iframe

Mit HTML 5 wurde das Attribut "sandbox" zum iframe ergänzt, um mehr Sicherheit vor Problemen bei eingebetteten Seiten zu bieten. Wird das Attribut gesetzt, zeigt man an, dass man höchste Sicherheit vor dem iframe verlangt. Übergibt man als Wert eine Liste von u.g. Konstanten, kann man diese Sicherheitsrichtlinie aufweichen. Bei HTML 4.01 war das Sicherheitskonzept folgendermaßen:

Zugriff über Domänengrenzen hinweg

Beim Laden der Oberseite wird der Inhalt des iframes immer geladen. Danach gilt die 'Same origin policy', d.h. es darf nur von der Domäne nachgeladen werden, von dem auch die obere Seite stammt. Dies gilt ebenso für das XMLHttpRequest-Objekt bei Ajax. Skripte können auch ein Zertifikat beinhalten, um damit vom Anwender mehr Rechte zu erhalten. Es gibt folgende Möglichkeit, die 'Same Origin Policy' zu umgehen:

Internet Explorer
Unter Menü Extras/Internetoptionen/Sicherheit lassen sich vier verschiedene Sicherheitszonen auswählen: Internet, Lokales Intranet, vertrauenswürdige und eingeschränkte Seiten. In der Zone Internet gilt die 'same origin policy', im lokalen Intranet normalerweise nicht. Oft sind Rechte der Zone aber durch den Systemadministrator vorgegeben.
Mozilla
Um von der Oberseite per Skript Inhalte in den iframe nachzuladen oder auf die Oberseite zuzugreifen, müssen 2 Einstellungen sein:
1. Mit about:config in URL-Zeile (oder in Datei user.js) die Einstellung ändern:
```
 signed.applets.codebase_principal_support = true 
```
2. Das Recht zum Lesen im Browserfenster erbitten:
```
 netscape.security.PrivilegeManager.enablePrivilege('UniversalBrowserRead'); 
```
Ggf. das Recht zum Schreiben im Browserfenster erbitten:
```
 netscape.security.PrivilegeManager.enablePrivilege('UniversalBrowserWrite'); 
```

Attribut sandbox ([MUEN10], S. 217f.)

Damit kann die 'same-origin-policy' gelockert werden. Man kann dem Attribut mit Werten zuweisen, welche Berechtigungen einem iframe-Inhalt für den Zugriff auf die übergeordnete Seite eingeräumt werden.
sandbox=

"allow-same-origin": simuliert, dass das eingebettete iframe die gleichen Domäne hat wie das übergeordnete.
"allow-top-navigation": der Inhalt des obersten Browser-Kontextes ist veränderbar
"allow-forms": eingebettete Seite darf Formulare enthalten, welche abgeschickt werden können
"allow-scripts": eingebettete Seite darf Javascript enthalten, welche auf übergeordnete zugreift

Test, ob das Attribut vom Browser unterstützt wird

Literatur: [MUEN10], Stefan Münz, Klemens Gull, "HTML5 Handbuch", Francis Verlag, 1. Auflage 2010