Iframe-Sandboxing
Prüft eingebettete Iframes auf sandbox-Attribut mit Einschränkungen.
Was dieser Check misst
Wir listen alle `<iframe>`-Tags und prüfen `sandbox`-Attribut. Iframes mit Third-Party-Content (Ads, Widgets, Videos) sollten über sandbox eingeschränkt sein.
Warum es wichtig ist
Nicht-gesandboxte Iframes können Scripts laufen lassen, Forms submitten, auf Storage zugreifen, Top-Window navigieren — alles unter deiner CSP und Cookies. Malicious/kompromittierter Content = volle Kompromittierung.
Wie unser Audit es erkennt
Iframe-Tags parsen. Bei externer src sandbox-Attribut prüfen. Empfohlener Wert variiert, sollte aber nicht leer sein.
Typische Findings
- error_outlineYouTube-Embed ohne sandbox (geringes Risiko — trusted).
- error_outlineThird-Party-Ad-Iframe ohne sandbox.
- error_outlineCustom-Widget-Iframe mit allen Capabilities.
So behebst du es
Baseline: `sandbox="allow-scripts allow-same-origin"`. Permissions entfernen die der Embed nicht braucht. Untrusted: leeres `sandbox=""` (max Restriktion).
Häufige Fragen
Bricht sandbox YouTube-Embeds?expand_more
Soll das auf deiner Site geprüft werden?
Pantra läuft den vollen Audit (SEO, Sicherheit, GEO, Performance, Schema, Technik, Bilder) in 10 Sekunden und generiert stack-spezifische Fix-Prompts.
Site scannenÄhnliche Checks
HTTPS aktiv
Prüft ob die Site über HTTPS ausliefert und HTTP auf HTTPS redirected.
SicherheitTLS-Version
Prüft dass der Server TLS 1.2 oder höher nutzt — ältere Versionen sind kaputt.
SicherheitMixed Content
Prüft HTTP-Ressourcen auf HTTPS-Seiten — Browser blockieren oder warnen.
SicherheitSSL-Zertifikat
Prüft dass das SSL-Zertifikat gültig, nicht abgelaufen und nicht bald ablaufend ist.