iframe沙箱权限配置与使用详解

iframe 的 `sandbox` 属性并非“增强安全”的开关，而是默认彻底锁死所有主动行为的隔离机制——只要出现该属性（哪怕值为空），JavaScript 执行、表单提交、弹窗、本地存储等能力即被静默禁用，仅 `postMessage` 保留通信通道；必须通过显式添加如 `allow-scripts`、`allow-forms` 等白名单权限才能逐项解禁，且各权限间存在关键限制（如 `allow-scripts` 不恢复内联事件、不改变 `null` 源、不绕过 CORS）；实践中应严格遵循最小权限原则，避免滥用 `allow-same-origin` 或 `allow-top-navigation` 等高危权限，真正安全的沙箱不是让 iframe 自行操作敏感 API，而是将其降权为受控的通信节点，将数据持久化、DOM 访问等高风险操作交由主页面统一处理。

sandbox 属性不是“加了就安全”，而是“不加默认全开、加了默认全锁”——只要出现该属性（哪怕值为空），iframe 内所有主动行为立刻被禁用，必须显式放行才能恢复对应能力。

为什么加了 sandbox 就白屏或脚本不执行？

因为 sandbox=""（或仅写 sandbox）等价于启用全部限制：JS 不解析、onclick 失效、fetch() 报错、localStorage 访问被拒、表单点击无反应、window.open() 静默拦截。浏览器不会报错，而是直接静默丢弃这些行为。

常见误判是以为“JS 写错了”或“路径不对”，其实只需在控制台执行：document.querySelector('iframe').sandbox，返回空 DOMTokenList [] 就说明权限没开。

• 只写