react/iframe-missing-sandbox 可疑
它所做的
在 iframe 元素上强制实施沙箱特性
为什么这样做不好?
沙箱特性对 iframe 中的内容启用了一组额外的限制。使用沙箱特性是一种良好的安全实践。要了解更多关于沙箱的信息,请参阅 MDN 在sandbox特性上的文档。
此规则检查所有 React <iframe> 元素并验证其中存在sandbox属性且其值为有效值。除此之外,它还报告了在含有 allow-scripts 和 allow-same-origin 的同时还含有特性值的情况,因为这种组合允许嵌入式文档移除沙箱特性并绕过限制。
示例
对该规则的 **不正确** 代码示例
jsx
<iframe />;
<iframe sandbox="invalid-value" />;
<iframe sandbox="allow-same-origin allow-scripts" />;对该规则的 **正确** 代码示例
jsx
<iframe sandbox="" />;
<iframe sandbox="allow-origin" />;