sandbox 是 HTML5 为 <iframe> 引入的安全属性。当设置 sandbox 属性时，浏览器会对iframe内容施加严格的限制，包括禁用脚本、禁用表单、禁用弹窗、禁止访问父页面DOM等。通过添加 allow-* 值，可以逐个解除特定限制。这是一种"默认拒绝，显式允许"的安全模型。

没有sandbox属性 ≠ 有sandbox=""：前者无任何限制，后者限制所有权限。

⚠ 这是一个常见的安全误区。

当 allow-scripts 和 allow-same-origin 同时存在时，iframe内的脚本可以访问同源数据（如cookie、localStorage），甚至移除自身的sandbox属性，从而完全绕过沙箱限制。

最佳实践：如果不需要同源访问，不要添加allow-same-origin。如果需要，请确保iframe内容完全可信，或使用独立子域名隔离。

根据嵌入内容的信任级别和功能需求选择：

• 完全不可信内容：sandbox=""（最严格）
• 需要基本交互：sandbox="allow-scripts"
• 标准嵌入（如视频）：sandbox="allow-scripts allow-same-origin allow-forms allow-popups"
• 需要导航：额外添加 allow-top-navigation-by-user-activation（比allow-top-navigation更安全）
• 完全信任：考虑是否真的需要sandbox

默认sandbox（无allow-*值）会阻止：

• 所有JavaScript执行
• 表单提交
• window.open() 弹窗
• alert() / confirm() / print() 等模态操作
• 通过 top.location 导航父页面
• 自动触发下载
• 指针锁定、屏幕方向锁定、演示模式API
• 访问父页面的DOM和存储
• 插件（如Flash）的使用

每个 allow-* 值解除一项限制。

allow-top-navigation 允许iframe内容随时修改父页面的URL（top.location），可能被恶意利用进行钓鱼或重定向攻击。

allow-top-navigation-by-user-activation（Chrome 58+）仅在用户手势（如点击）触发时才允许导航，大幅降低风险。推荐优先使用后者。

如果目标网站设置了 X-Frame-Options: DENY 或 Content-Security-Policy: frame-ancestors 'none'，浏览器会拒绝在iframe中加载该页面。这是服务器端的限制，无法通过sandbox配置绕过。

提示：可以在浏览器开发者工具的Console中查看相关错误信息。本工具的内置测试页面不受此限制。