如何在沙盒框架中创建工作线程

我正在构建一个运行不受信任代码的沙箱。出于这个原因，我创建了一个沙盒iframe(在其sandbox属性中仅具有allow-scripts权限集)，以保护起源，然后在该iframe中我创建了一个web-worker，以确保一个单独的线程，并防止在不受信任的代码具有无限循环的情况下冻结主应用程序。

问题是，如果我尝试通过https加载沙箱，最近的谷歌浏览器不允许创建一个工作者。在其他浏览器上它可以工作，如果我通过http加载Chrome中的沙箱，它也可以工作。

代码如下:

index . html:

<!DOCTYPE html>
<html>
  <head>
    <title>Sandbox test</title>
    <script type="text/javascript" src="main.js"></script>
  </head>
  <body></body>
</html>

main.js:

// determining absolute path of iframe.html
var scripts = document.getElementsByTagName('script');
var url = scripts[scripts.length-1].src
    .split('/')
    .slice(0, -1)
    .join('/')+'/iframe.html';
window.addEventListener("load", function() {
    var iframe = document.createElement('iframe');
    iframe.src = url;
    iframe.sandbox = 'allow-scripts';
    iframe.style.display = 'none';
    document.body.appendChild(iframe);
    window.addEventListener('message', function(e) {
        if (e.origin=='null' && e.source == iframe.contentWindow) {
            document.write(e.data.text);
        }
    });
}, 0);

iframe.html:

<script src="iframe.js"></script>

iframe.js:

var code = 'self.postMessage({text: "sandbox created"});';
var url = window.URL.createObjectURL(
    new Blob([code], {type: 'text/javascript'})
);
var worker = new Worker(url);
// forwarding messages to parent
worker.addEventListener('message', function(m) {
    parent.postMessage(m.data, '*');
});

http://asvd.github.io/sandbox/index.html - HTTP演示(适用于任何地方)

https://asvd.github.io/sandbox/index.html - https演示(不工作在Chrome)

https://github.com/asvd/asvd.github.io/tree/master/sandbox -来源(与本题内联的完全相同)

Google Chrome然后抱怨:

混合内容:页面'https://asvd.github.io/sandbox/iframe.html'是通过HTTPS加载的，但请求了一个不安全的工作脚本'blob:null/a9f2af00-47b1-45c1-874e-be4003523794'。此请求已被阻止;

我还尝试通过https从文件而不是blob加载工作代码，但这在任何地方都是不允许的，因为我不能从iframe访问相同来源的文件。

我想知道是否有机会在Chrome中制作这样的沙盒工作，而不添加allow-same-origin权限到iframe。