Cal*_*ero 5 html iframe sandbox noscript google-tag-manager
再会。
我有一个使用 Google 跟踪代码管理器的网站,按照官方指南(https://developers.google.com/tag-manager/quickstart)成功实施,包括步骤 2 中建议的片段:
<!-- Google Tag Manager (noscript) -->
<noscript><iframe src="https://www.googletagmanager.com/ns.html?id=GTM-XXXX"
height="0" width="0" style="display:none;visibility:hidden"></iframe></noscript>
<!-- End Google Tag Manager (noscript) --><body>接近主模板元素的末尾,正如它应该的那样。
现在,一家咨询机构建议我sandbox向该iframe元素添加一个属性,以加强网站的整体安全性,以及一系列其他建议。
虽然我认为我明白了 iframesandbox属性值及其后果的要点,但我希望有人能启发我,了解它在固定的、可信的 iframe 源的上下文中和 noscript 元素的上下文中的好处是什么(从技术上讲,没有脚本可以执行),特别是在安全性方面。另请解释您认为在这种特定情况下可能合适的值(如果有)。
属性值参考sandbox:https://developer.mozilla.org/en-US/docs/Web/HTML/Element/iframe#attr-sandbox
我已经搜索过这个,但没有找到关于这个特定问题的参考资料。
先感谢您。
这对安全没有影响noscript当 JavaScript 可用时不会呈现部分。iframe(如果存在)的安全重要性也是有限的,因为您将添加来自同一站点的实际脚本,该脚本具有页内代码,可以并且确实从您的源向页面添加内容以及添加其他 iframe取决于您的容器配置。
从理论上讲,这可以防止 google(或者可能对您的容器内容进行专门更改)通过在 iframe 中模仿您的网站或运行 JS 来受益。但样式隐藏了它,并且客户端可能不允许仅在子 iframe 中使用 JS,除非它们具有特定于域的 JS 阻止规则。
他们不理解这个属性。
sandbox.noscript而失败。