Атрибут sandbox может содержать через пробел список ограничений, которые не нужны:
allow-same-origin
Браузер может не считать документ в ифрейме пришедшим с другого же домена. Если ифрейм и так с другого домена, то ничего не меняется.
allow-top-navigation
Разрешает ифрейму менять parent.location.
allow-forms
Разрешает отправлять формы из iframe.
allow-scripts
Разрешает выполнение скриптов из ифрейма. Но скриптам, всё же, будет запрещено открывать попапы.
Цель атрибута sandbox — наложить дополнительные ограничения. Он не может снять уже существующие, в частности, убрать ограничения безопасности, если ифрейм с другого источника.
<iframe src="URL" sandbox="allow-same-origin || allow-top-navigation || allow-forms || allow-scripts"></iframe>