从主文档中豁免iframe's CSP沙盒
Exempt iframes from the main document's CSP sandbox
是否可以将iframe从其父级的CSP沙箱中豁免(当父级使用Content-Security-Policy
标头启用其CSP沙箱时)?
我见过https://lists.w3.org/Archives/Public/public-webappsec/2013Jan/0027.html,但这似乎不是真的。至少不再。
我尝试过,因为没有其他想法,通过使用更自由的CSP头为iframed文档提供服务来覆盖父母的CSP头,但这没有任何区别。
iframed文档继承其父级的CSP时,这种行为是否在任何地方都有文档记录(即W3C)?
在这里给你一些背景知识:这个想法是对主文档进行沙盒处理,但通过受信任的未沙盒iframe允许一些自定义权限(不受信任的主页面将使用postMessage
告诉受信任的iframe代表它做某些事情)。
是的,这是可能的,但正如谷歌在提到这个主题的帖子中所说:"这是一种权衡:沙盒页面不能使用API。如果你需要做类似eval()的事情,可以通过这条途径免除CSP,但你将无法使用很酷的新东西。下面是一个例子:
<html>
<body>
<h1>Woot</h1>
<script>
eval('console.log(''I am an eval-ed inline script.'')');
</script>
</body>
</html>
相关文章:
- 检测JavaScript是否在沙盒Iframe中执行
- 在沙盒中的服务器上运行 JavaScript 代码
- 在客户端的 IFRAME 中对内容进行沙盒处理
- 如何在节点的沙盒环境中执行用户提交的javascript代码
- 如何CSS沙盒/重置当前页面中的整个DIV区域
- 拒绝执行内联事件处理程序,因为它违反了CSP.(沙盒)
- IFRAME沙盒中的Google OAuth2和应用程序脚本
- 如何在Wysihtml5沙盒编辑器中的光标位置插入文本
- 有没有办法对一些javascript进行沙盒处理,这样它就不能以任何方式将数据发送到服务器
- 如何在 Office 365 加载项中启用允许从沙盒属性顶部导航
- 为什么“@grant随机无效设置”会激活沙盒
- 无法使用沙盒帐户PayPal进行测试
- 在 上拥有沙盒=“允许脚本允许弹出窗口允许同源”是否安全
- 启用MediaWiki沙盒页面编辑而无需用户登录
- 沙盒,用于保护允许用户上传样式的网站
- 如何使用自定义方法和字段扩展沙盒 sinon
- Braintree的沙盒PayPal集成(使用JS和PHP)
- Chrome 中的 SWF 沙盒冲突错误 #2060
- 使用Enter Key Submit从NATIVE转换为IFRAME沙盒
- 从主文档中豁免iframe's CSP沙盒