Como parte de un sitio web que estoy desarrollando, el contenido que no es de confianza se muestra en un iframe de espacio aislado. El contenido se carga con el atributo srcdoc
, pero el iframe tiene un espacio aislado con sandbox="allow-scripts"
, por lo que el contenido no confiable no tiene acceso del mismo origen. Sin embargo, me preocupan los scripts maliciosos que se ejecutan dentro del iframe. En particular, me preocupa el phishing, ya que el dominio que se muestra en la barra de direcciones será mi sitio web, y cosas como mensajes de alerta maliciosos (). ¿Cuál es una buena manera de evitar este problema en primer lugar, o dejar claro a los visitantes que el contenido no es de confianza? (No puedo desactivar el permiso de permitir scripts porque hay scripts legítimos que deben ejecutarse en el contenido).