總的來說，當(dāng)我們在談?wù)摗扒岸税踩珕栴}”的時候，我們說的是發(fā)生在瀏覽器、前端應(yīng)用當(dāng)中，或者通常由前端開發(fā)工程師來對其進行修復(fù)的安全問題，那么前端安全問題如何防御？下面一起來看一下。

網(wǎng)絡(luò)安全小知識：

還好在HTML5中，iframe有了一個叫做sandbox的安全屬性，通過它可以對iframe的行為進行各種限制，充分實現(xiàn)“最小權(quán)限“原則。使用sandbox的最簡單的方式就是只在iframe元素中添加上這個關(guān)鍵詞就好，就像下面這樣：

JavaScript<iframe sandbox src="..."> ... </iframe>

sandbox還忠實的實現(xiàn)了“Secure By Default”原則，也就是說，如果你只是添加上這個屬性而保持屬性值為空，那么瀏覽器將會對iframe實施史上最嚴(yán)厲的調(diào)控限制，基本上來講就是除了允許顯示靜態(tài)資源以外，其他什么都做不了。比如不準(zhǔn)提交表單、不準(zhǔn)彈窗、不準(zhǔn)執(zhí)行腳本等等，連Origin都會被強制重新分配一個唯一的值，換句話講就是iframe中的頁面訪問它自己的服務(wù)器都會被算作跨域請求。

另外，sandbox也提供了豐富的配置參數(shù)，我們可以進行較為細粒度的控制。一些典型的參數(shù)如下：

allow-forms：允許iframe中提交form表單

allow-popups：允許iframe中彈出新的窗口或者標(biāo)簽頁（例如，window.open()，showModalDialog()，target=”_blank”等等）

allow-scripts：允許iframe中執(zhí)行JavaScript

allow-same-origin：允許iframe中的網(wǎng)頁開啟同源策略

佰佰安全網(wǎng)提醒您：做好網(wǎng)絡(luò)安全防范措施與應(yīng)用措施是必不可少的，另外在日常時也要多了解一些網(wǎng)絡(luò)安全常識和網(wǎng)絡(luò)安全技術(shù)知識來幫助自己。

責(zé)任編輯:張小付