sandboxという環境で埋め込んだiframe内のコンテンツにある、外部のプログラムを保護された領域で動作させることによって、悪意のあるプログラムが実行されてもその環境内に抑え、外部に影響を与えないようにしてセキュリティを保つことができる。(フォームを送信できないようにする、JavaScriptを実行できないようにする など)
sandboxでは保護された領域をつくると共に、セキュリティの制限範囲を指定することができるため、制限を解放してある動作は許可をするなどのコントロールもできる。ただし、allow-scriptsとallow-same-originの2つの値を指定すると、sandbox属性が無効となる。
<p>
<iframe src="sample.html" sandbox></iframe>
</p>
<p>
<iframe src="sample.html" sandbox="allow-same-origin"></iframe>
</p>
<p>
<iframe src="sample.html" sandbox="allow-same-origin allow-top-navigation"></iframe>
</p>