Författaren kritiserar HTML5 Sandbox-funktionen, menar att den är dåligt designad och introducerar större sårbarheter än den löser. De ursprungliga problemen som Sandbox skulle åtgärda, som navigations- och nätfiskeattacker från iframes, kunde ha lösts enklare. W3C:s tillägg av alternativ som allow-scripts och allow-forms skapar nya sårbarheter för clickjacking, särskilt när allow-forms kombineras med disallow scripts. Idén att använda Sandbox för att köra opålitlig kod på samma ursprung (t.ex. JavaScript-lekplatser) är riskabel och kan leda till XSS-hål om inte omfattande server-side-validering med nonces används. Artikeln drar slutsatsen att Sandbox, trots att den inte är helt dålig, är en bristfälligt utformad funktion som har skapat nya clickjacking-problem på webben.