仕様書

[1] HTML Standard (2015-05-06 10:42:35 +09:00 版) https://html.spec.whatwg.org/#attr-iframe-sandbox
[3] HTML Standard (2015-05-06 10:42:35 +09:00 版) https://html.spec.whatwg.org/#attr-iframe-sandbox-allow-same-origin
[4] HTML Standard (2015-05-06 10:42:35 +09:00 版) https://html.spec.whatwg.org/#sandboxed-origin-browsing-context-flag

関連

[2] allow-scripts allow-same-origin を併用すると、フレームの内外が同じ起源になり、内側でスクリプトが実行できるわけですから、内側のスクリプトが sandbox 属性を削除して再読込できることになります。つまり実質的に sandbox 属性を無効にしてしまいます >>1。