HTML-tools

Gratis Iframe Sandbox & Allow Generator

Genereer veilige iframe markup met sandbox vlaggen en allow permissies per embedtype.

Tool laden...

Wat is Iframe Sandbox & Allow Generator?

Het sandbox-attribuut beperkt wat een iframe kan doen, en het allow-attribuut verleent specifieke functietoestemmingen zoals fullscreen, camera of payment. Samen cre锟絩en ze een beveiligingsgrens rond ingebedde content. Deze tool genereert de juiste sandbox- en allow-waarden voor veelvoorkomende inbeddingstypen, zodat u niet per ongeluk meer toestemmingen geeft dan de inbedding nodig heeft.

Snel antwoord

Gebruik het sandbox-attribuut op iframes om te beperken wat de ingebedde content kan doen -- zoals het indienen van formulieren, openen van pop-ups of uitvoeren van scripts. Voeg allow-waarden 锟斤拷n voor 锟斤拷n toe en alleen wanneer nodig.

Last updated: 2026-05-25

Beperkingen

  • Het sandbox-attribuut beschermt niet tegen clickjacking op de bovenliggende pagina. Gebruik een Content-Security-Policy met frame-ancestors daarvoor.
  • Sommige iframe-functies, zoals opslagtoegang en navigatie op topniveau, gedragen zich anders in verschillende browsers wanneer sandbox wordt toegepast.
  • Het verwijderen van sandbox herstelt API's niet retroactief -- de iframe moet opnieuw worden geladen voordat sandbox-wijzigingen van kracht worden.

Sources:MDN Web Docs · W3C Specifications · jquery.app on GitHub

Zo gebruik je deze tool

  1. Selecteer het inbeddingstype dat het beste past bij wat u inbedt.
  2. Controleer de voorgestelde sandbox-vlaggen en allow-toestemmingen. Pas ze aan voor uw specifieke gebruikssituatie.
  3. Voer de iframe-bron-URL en een beschrijvende titel in.
  4. Kopieer de gegenereerde iframe-tag naar uw HTML-pagina.

Waarvoor je het kunt gebruiken

  • Een YouTube-video insluiten met minimale sandbox-toestemmingen.
  • Een betalings-iframe toevoegen met alleen de payment-toestemming toegestaan.
  • Een inbedding van een formulier van derden beperken tot alleen de toestemmingen die het nodig heeft.

Gebruik

Praktische voorbeelden

Voorbeeld

YouTube-insluiting met veilige standaardwaarden

Een blogbericht sluit een YouTube-video in. De generator voegt allow-scripts en allow-presentation toe in de sandbox, plus allowfullscreen, zonder onnodige toestemmingen te verlenen.

Voorbeeld

Betalingswidget-insluiting

Een afrekenpagina sluit een betalingsprovider in. De iframe gebruikt allow-scripts, allow-same-origin en allow-forms in de sandbox, met de payment-allow-toestemming.

Veelgemaakte fouten

  • Zowel allow-scripts als allow-same-origin toevoegen zonder te begrijpen dat dit de sandbox-isolatie effectief opheft.
  • Meer functies in het allow-attribuut toestaan dan de inbedding daadwerkelijk nodig heeft.
  • Het sandbox-attribuut volledig weglaten, wat betekent dat de iframe met volledige paginatoestemmingen draait.

Verificatie

  1. Open de pagina in een browser en interageer met de iframe-inhoud. Controleer de DevTools-console op sandbox-gerelateerde overtredingen.
  2. Test de iframe in Chrome, Firefox en Safari om te bevestigen dat sandbox-beperkingen consistent werken.

FAQ

Vragen over Iframe Sandbox & Allow Generator

Wat doen allow-scripts + allow-same-origin samen?

Samen kunnen ze de iframe toegang geven tot de DOM van de bovenliggende pagina, waardoor de sandbox effectief wordt opgeheven. Gebruik beide alleen wanneer de inbedding echt same-origin-scripttoegang nodig heeft.

Moet elke iframe een sandbox-attribuut hebben?

Een sandbox met de juiste beperkingen is een beveiligingsbest practice voor content van derden. Test voor first-party-inbeddingen of de beperkingen het verwachte gedrag niet breken.

Wat gebeurt er als ik sandbox='' gebruik zonder allow-tokens?

Een leeg sandbox-attribuut past alle beperkingen toe met maximale strengheid: geen scripts, geen formulierinzending, geen pop-ups, geen same-origin-toegang, geen pointer lock, geen navigatie op topniveau. De ingebedde content draait in een volledig ge锟絪oleerde omgeving. Dit is handig voor volledig statische content van niet-vertrouwde bronnen, maar zal de meeste interactieve inbeddingen breken.

Kan ik sandbox gebruiken met YouTube, Vimeo of andere inbeddingen van derden?

Ja, maar u heeft minimaal allow-scripts en allow-same-origin nodig voor de meeste video-inbeddingen. YouTube- en Vimeo-iframes gebruiken JavaScript om de speler te initialiseren. Voeg allow-presentation toe voor fullscreen. Voeg nooit zowel allow-scripts als allow-same-origin samen toe aan content van derden, tenzij u de bron volledig vertrouwt.

Gerelateerde tools

Meer html-tools

Html

CSP Hash Generator

Genereer CSP-hashwaarden voor inline scripts en styles. Hash exacte code met SHA-256, SHA-384 of SHA-512.

Open tool

Probeer ook

Probeer ook