不加任何值的 sandbox 属性默认启用最严格的隔离策略：所有能力（脚本、表单、插件、弹窗、跨域请求等）均被禁用，iframe 完全丧失主动行为权。

iframe sandbox 属性默认开启哪些限制

不加任何值的 sandbox 属性会启用**最严格的隔离策略**：所有能力都被禁用，包括脚本执行、表单提交、插件加载、弹窗、跨域请求等。此时 等价于完全剥夺 iframe 的主动行为权。

常见误操作是只写 sandbox 却期望 JS 能运行或链接能跳转——这不会生效。必须显式添加对应 token 才能解锁能力。

sandbox 允许的权限 token 及实际效果

每个 token 控制一项具体能力，可空格分隔多个值。关键 token 包括：

• allow-scripts：允许执行 JS（但依然受同源策略限制，且无法访问父页面 DOM）
• allow-same-origin：**仅当与父页同源时才可启用**；否则该 token 会被浏览器忽略；启用后 iframe 才能以“同源”身份读写 localStorage、发起同源 fetch
• allow-forms：允许提交表单（否则
  提交会静默失败）
• allow-popups：允许调用 window.open() 或 target="_blank" 弹出新窗口
• allow-downloads：允许通过 download 属性触发下载（Chrome 89+ 支持）

注意：allow-same-origin 和 allow-scripts 同时存在时，iframe 内脚本才能访问自身 origin 的存储和 API；但**仍不能访问父页面的 window 或 document**——sandbox 的 DOM 隔离是强制的。

常见错误配置与对应现象

以下写法看似合理，实则存在安全隐患或功能失效：

• 只写 sandbox="allow-scripts"：JS 可运行，但所有 fetch/XHR 请求因缺少同源权限而被拒绝（Failed to execute 'fetch' on 'Window': Cannot access 'https://xxx' from origin 'null'）
• 错误地写成 sandbox="allow-scripts allow-same-origin" 并指向跨域地址：浏览器会直接忽略 allow-same-origin，iframe 仍被视为 null origin，localStorage 读写报错 SecurityError
• 遗漏 allow-forms 却使用
  ：点击提交无反应，控制台无报错，行为静默失败

安全底线：只要 iframe 加载的是不可信内容（如用户生成 HTML、第三方广告），就**不要加 allow-same-origin**；哪怕加了，也需确保其 URL 确实与父页同源（协议、域名、端口全一致）。

完整可用示例与注意事项

假设你有一个本地托管的、可信的交互式图表页面 /chart.html，需要在当前页嵌入并允许其 JS 运行、读写自身 localStorage、提交配置表单：

若该 iframe 实际加载的是 https://third-party.com/widget.js，则必须去掉 allow-same-origin，否则它既得不到同源权限，又因 token 无效而白加——正确写法应为：

真正容易被忽略的一点：sandbox 是**HTML 解析时即生效的硬性策略**，JavaScript 动态设置 iframe.sandbox = "allow-scripts" 不会起作用；必须在标签中声明，或通过服务端渲染/模板拼接写死。