【发布时间】:2016-01-05 05:50:47
【问题描述】:
我有一个包含不受信任内容的 iframe 的首页。我在我控制的域上托管不受信任的内容,并且可以(理论上)对其进行更改。如果没有使用 Google Caja 之类的东西分析源代码,有什么方法可以防止不受信任的内容将框架本身导航到其他 URL? (或理想情况下将其限制在受信任的域中)
相关,但不完全:
- Only addresses anchor tags, not navigation in general
- 很多网页都在谈论带有“允许顶部导航”的沙盒。没有帮助,因为我想限制框架本身的导航
背景:我的目标是允许不受信任的内容在 iframe 中运行并将一些用户数据传递给它,但我不希望不受信任的内容转而将这些数据发送到第 3 方。 (内容将被允许将任何结果发布到父窗口公开的 API。) 不受信任内容上的内容安全策略 HTTP 标头允许我限制所有方式的网络请求除了导航。
【问题讨论】:
标签: javascript html security iframe