Moin! Aufgrund von [Marcs Beitrag](https://forum.selfhtml.org/self/2017/apr/5/kennt-ihr-alle-html-geheimnisse/1691469#m1691469) und dem dort verlinkten Vortrag habe ich mich mit dem neuen `srcdoc`-Attribut beschäftigt und festgestellt, dass die [betreffende, kurze Erklärung im Wiki](https://wiki.selfhtml.org/wiki/HTML/Multimedia_und_Grafiken/Aktive_Inhalte_einbinden#srcdoc) falsch und die [Referenz](https://wiki.selfhtml.org/wiki/Referenz:HTML/Attribute/srcdoc) zumindest missverständlich _waren_. Das habe ich – hoffentlich auch _korrekt_ – verbessert. Allerdings liest Frickl dummerweise `script`-Elemente aus, auch wenn sie sich – wie im [Beispiel](https://wiki.selfhtml.org/wiki/Beispiel:HTML_iframe-Element-src-sandbox.html) – in einem Attributwert befinden: ~~~html <p>Im folgenden iframe wird kein JavaScript ausgeführt:</p> <iframe srcdoc="JavaScript? <script>alert('Hallöle!');</script><noscript>...kein JavaScript...</noscript>" sandbox></iframe> ~~~ Gibt es dafür eine Lösung (`script`-Elemente nicht parsen, falls sie sich innerhalb eines Attribut-Werts befinden?). Ich habe vorerst < und sicherheitshalber auch > escaped, aber eine allgemeine Lösung wäre natürlich – sofern realisierbar – vorzuziehen: ~~~html <iframe srcdoc="JavaScript? &lt;script&gt;alert('Hallöle!');&lt;/script&gt;&lt;noscript&gt;...kein JavaScript...&lt;/noscript&gt;" sandbox></iframe> ~~~ ---- **Nachtrag** / BTW: Ich konnte keine Primär-Quelle zu der Aussage finden, dass das `srcdoc`-Attribut zusammen mit dem Einsatz des `sandbox`-Attribut gedacht und dass alle Browser, die `srcdoc` implementieren, `sandbox` ebenfalls beherrschen müssen (dass dem augenscheinlich so ist, kann man auf caniuse sehen...). Worauf ich hinaus will: Es könnte eines Tages ein Browserhersteller auf die Idee kommen, zuerst `srcdoc` und dann erst `sandbox` zu implementieren, falls das nicht in der Spec stünde – auf die Isolation von unsicheren Inhalten wäre damit kein Verlass mehr! Gruß Julius

Moin! Aufgrund von [Marcs Beitrag](https://forum.selfhtml.org/self/2017/apr/5/kennt-ihr-alle-html-geheimnisse/1691469#m1691469) und dem dort verlinkten Vortrag habe ich mich mit dem neuen `srcdoc`-Attribut beschäftigt und festgestellt, dass die [betreffende, kurze Erklärung im Wiki](https://wiki.selfhtml.org/wiki/HTML/Multimedia_und_Grafiken/Aktive_Inhalte_einbinden#srcdoc) falsch und die [Referenz](https://wiki.selfhtml.org/wiki/Referenz:HTML/Attribute/srcdoc) zumindest missverständlich _waren_. Das habe ich – hoffentlich auch _korrekt_ – verbessert. Allerdings liest Frickl dummerweise `script`-Elemente aus, auch wenn sie sich – wie im [Beispiel](https://wiki.selfhtml.org/wiki/Beispiel:HTML_iframe-Element-src-sandbox.html) – in einem Attributwert befinden: ~~~html <p>Im folgenden iframe wird kein JavaScript ausgeführt:</p> <iframe srcdoc="JavaScript? <script>alert('Hallöle!');</script><noscript>...kein JavaScript...</noscript>" sandbox></iframe> ~~~ Gibt es dafür eine Lösung (`script`-Elemente nicht parsen, falls sie sich innerhalb eines Attribut-Werts befinden?). Ich habe vorerst < und sicherheitshalber auch > escaped, aber eine allgemeine Lösung wäre natürlich – sofern realisierbar – vorzuziehen: ~~~html <iframe srcdoc="JavaScript? &lt;script&gt;alert('Hallöle!');&lt;/script&gt;&lt;noscript&gt;...kein JavaScript...&lt;/noscript&gt;" sandbox></iframe> ~~~ Gruß Julius