Для начало что такое Sandbox - это песочница для iframe, устанавливается через аттрибут для ограничений на загружаемый фрейм, чтобы повысить безопасность текущего документа.

Список правил (перечисляются через пробел для iframe):

allow-forms - Разрешает работу форм на вложенной странице.
allow-pointer-lock - Включает API-интерфейсы на вложенной странице.
allow-popups - Разрешает отображение всплывающих окон на вложенной странице.
allow-same-origin - Воспринимает вставляемый документ как документ загруженный из того же источника, что и основной документ.
allow-scripts - Разрешает работу скриптов на вложенной странице.
allow-top-navigation - Разрешает содержимому вставляемого документа получать доступ к элементам верхнего уровня (документам, окнам).