iframe元素将其他web页面直接嵌入到当前页面中。HTML5为此元素引入了三个新属性，以帮助解决HTML4 iframe实现的安全性和可用性问题。

“沙盒”属性

iframe元素的sandbox属性是iframe的一个有用的安全特性。当您将其放置在iframe元素中时，用户代理不允许可能对站点及其用户造成安全风险的功能。

例如：

指示浏览器禁止所有可能存在安全风险的功能—因此不允许插件、表单、脚本、出站链接、cookie、本地存储和同一站点页面访问。

然后，使用sandbox关键字值，重新启用一些功能。这些关键词是：

• 允许表单：允许表单提交。
• 允许相同来源：允许脚本访问来自相同来源域的内容，如cookie。
• 允许脚本：允许脚本在此IFRAME中运行。
• 允许顶部导航：允许iframe链接和脚本指向“\u top”目标

不要在同一iframe上同时设置允许脚本和允许同源关键字。如果这样做，嵌入的页面就可以删除沙盒属性，从而否定其安全性优势。

“srcdoc”属性

srcdoc属性为web设计器提供了对iFrame的更多控制以及更多安全性。web设计器将要显示在iframe中的HTML放在srcdoc属性内，而不是链接到不同URL的网页。

通过将由不受信任的源（如表单）创建的HTML放置到iframe中，您可以对不受信任的内容进行沙箱处理，并仍然在页面上显示它。博客评论就是一个例子。大多数博客只提供有限数量的HTML标签，评论者可以在他们的评论中使用。但是，通过使用srcdoc属性将这些注释放置在沙盒iframe中，这些注释可以更加健壮，同时仍然可以保护整个站点。

安全和iframes

上述两个属性为iframe元素提供了安全性，但它们并不是针对所有恶意站点的防御。如果恶意网站能够说服您的网站访问者直接访问恶意内容（例如通过在浏览器中键入URL），他们仍然会受到攻击。

如果可以，将沙盒iframe中的内容设置为text/html沙盒MIME类型。

“无缝”属性

无缝属性是一个布尔属性，它告诉浏览器显示iframe，就像它是父文档的一部分一样。如果希望iframe无缝显示，只需在元素中包含此属性：

但是使iframe无缝不仅仅是外观，还包括页面如何与框架交互。一些提示：

• 除非iframe页面设置了目标“\u SELF”，否则iframe中的链接将在父窗口中打开。
• iframe中的CSS将添加到整个文档的级联中。
• iframe页面的根元素被视为iframe的子元素。
• iframe的宽度和高度的设置方式与其他块级元素的设置方式类似。
• 当父文档由语音呈现工具（如屏幕阅读器）查看时，iframe将被读取，而不会作为单独的文档宣布。

父文档上的任何脚本都会以相同的方式影响iframe文档。例如，如果一个脚本列出了页面上的所有帧，那么iframe中的链接也将列出。

换句话说，无缝属性不仅仅是从iframe中删除边框。如果您要将iframe设置为无缝的，那么您应该非常确定其内容，这样您就不会因为嵌入恶意网站而给您的网站增加任何安全风险。