Web ハイパーテキスト・アプリケーション・テクノロジ・ワークショップ・グループ (WHATWG) は,W3C と共同で HTML 5 標準の開発作業を行っている。HTML 5 は WHATWG において,3ヶ月間に及ぶ "最終審査 (Last Call)" の段階にある。この期間中に重要な変更が行われた機能のひとつに <iframe> 要素の sandbox 属性がある。sandbox は信頼できないwebページのコンテントを,特定の操作の実行から隔離するために使用されるものだ。
HTML 5 仕様 のエディタである Ian Hickson 氏は,sandbox の効果の説明 として,以下の操作を防止している点をあげている。
- 親ページの DOM へのアクセス (技術的には iframe が親ページとは別の,より低い “起源” を持つことによる)
- スクリプト実行
- 独自フォームの組み込み,あるいはスクリプトを介したフォーム操作
- クッキー,ローカルストレージ,ローカルSQLデータベースの参照と更新
HTML5 のリビジョントラッキングページ には,sandbox 属性の機能として,さらに次のものが記載されている。
- プラグインの無効化
- 他のブラウジングコンテキストへのナビゲーションの禁止
- ポップアップ,モーダルダイアログの禁止
iFrame はセキュリティ違反に利用されることで悪名が高いが,それは主として,希望しない動作を行うようなサードパーティコンテントの組み込みに使われることによるものだ。sandbox には,組み込みコンテントに許可される動作を細かく規定することによって,iFrame をよりセキュアにする意図がある。そこでは sandbox に格納されたコンテントを親ページから切り離すことによって,その権限を抑制する,というアプローチが用いられている。
sandbox に結合された text/html-sandboxed という MIME タイプが定義されている。Hickson 氏が次のように説明する。
text/html-sandboxedMIME タイプは,ユーザが信頼できないコンテンツへ誘導されないことを保証するもので,2つのパートで構成されています。ひとつめは,text/html-sandboxedタイプを持ったページに直接ナビゲートされたとき,ブラウザはそのページを表示してはならない,というものです。このパートは今日のすべてのブラウザで動作して,そのようなマークアップページを表示する代わりにページのダウンロード(あるいはダウンロードを推奨)を行います。ふたつめは,sandbox属性をサポートするブラウザは,text/html-sandboxedMIME タイプの指定された iframe を(sandbox属性内にリストされた権限制約下で) 描画する必要がある,というものです。Google Chrome を含めて,これをサポートしているブラウザはまだありません (Chrome は親ページの表示は行いますが,iframe コンテントはフレーム内で表示せずにダウンロードします)。したがって Google が Chrome を更新してサポートしてくれるまで,このテクニックを利用することはできないのです。(理屈の上では,他のブラウザベンダもsandbox属性のサポートと同時にこれをサポートしているはずです。しかし実際に見てみないことには,何とも言えません。)
現時点で sandbox を使用しているのは Google Chrome 4.0 のみである。Firefox,IE8,Opera,Safari には実装されていない。これらのブラウザの実装については,今後のバージョンを待つことになる。しかし HTML5 <video> に関して起きたような,他のブラウザが異なる標準を採用している,あるいはまだ実装していないにも関わらず, Google が H.264 標準を採用して実装するという ストーリー が繰り返されることはないだろう。sandbox の場合は,それぞれのブラウザが内部的な実装方法を自由に選択できるからだ。ただし,もし主要ブラウザのすべてが明日 sandbox を適用したとしても,それを利用しようとする開発者や Web コンテント管理者には,この属性を無視する旧式ブラウザの存在について考慮する必要がある。したがって彼らは iFrame に関して,通常のセキュリティ対策も実施しなければならないだろう。