Come parte di un sito Web che sto sviluppando, i contenuti non attendibili vengono visualizzati in un iframe sandbox. Il contenuto viene caricato utilizzando l'attributo srcdoc
, ma l'iframe viene visualizzato in modalità sandbox utilizzando sandbox="allow-scripts"
, quindi il contenuto non attendibile non ha accesso alla stessa origine. Tuttavia, sono preoccupato per gli script dannosi in esecuzione all'interno dell'iframe. In particolare, sono preoccupato per il phishing, dal momento che il dominio visualizzato nella barra degli indirizzi sarà il mio sito Web e cose come i messaggi di avviso dannoso (). Qual è un buon modo per evitare questo problema in primo luogo o chiarire ai visitatori che il contenuto non è affidabile? (Non riesco a disattivare l'autorizzazione allow-scripts perché ci sono script legittimi che devono essere eseguiti nel contenuto).