On Sat, Aug 21, 2010 at 8:24 AM, Ian Hickson <span dir="ltr"><<a href="mailto:ian@hixie.ch">ian@hixie.ch</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
One comment: Rather than adding an "allowfullscreen" attribute on<br>
<iframe>, I would suggest just assuing that sandboxed content (i.e.<br>
content of iframes with the sandbox="" attribute) can't go fullscreen. I<br>
can provide a sandbox flag for this state. If we think there are use cases<br>
for allowing sandboxed iframes to go fullscreen, then I can also add a<br>
keyword that turns off the flag when present (like "allow-scripts" does<br>
for scripts). (I'm assuming there are no cases for disabling fullscreen<br>
for unsandboxed iframes; are there?)<br></blockquote><div><br>What about legacy content that doesn't use "sandbox"? It might expect cross-origin IFRAMEs to not be able to take over its window, but if the IFRAME content goes fullscreen, it effectively can. <br>
<br>I think allowing subframes to go fullscreen should always be opt-in.<br></div></div><br>Rob<br>-- <br>"Now the Bereans were of more noble character than the 
Thessalonians, for they received the message with great eagerness and 
examined the Scriptures every day to see if what Paul said was true." [Acts 17:11]<br>