* 仕様書

[REFS[
- [1] [CITE@en-GB-x-hixie[HTML Standard]] ([TIME[2015-05-06 10:42:35 +09:00]] 版) <https://html.spec.whatwg.org/#attr-iframe-sandbox>
- [3] '''[CITE@en-GB-x-hixie[HTML Standard]] ([TIME[2015-05-06 10:42:35 +09:00]] 版) <https://html.spec.whatwg.org/#attr-iframe-sandbox-allow-same-origin>'''
- [4] [CITE@en-GB-x-hixie[HTML Standard]] ([TIME[2015-05-06 10:42:35 +09:00]] 版) <https://html.spec.whatwg.org/#sandboxed-origin-browsing-context-flag>
]REFS]

* 関連

[2] [CODE(HTML)@en[[[allow-scripts]] [[allow-same-origin]]]] を併用すると、
[[フレーム]]の内外が[[同じ起源]]になり、内側で[[スクリプト]]が実行できるわけですから、
内側の[[スクリプト]]が [CODE(HTMLa)@en[[[sandbox]]]] [[属性]]を削除して[[再読込]]できることになります。
つまり実質的に [CODE(HTMLa)@en[[[sandbox]]]] [[属性]]を無効にしてしまいます [SRC[>>1]]。