【问题标题】:Restrict or prevent iframe navigation限制或阻止 iframe 导航
【发布时间】:2016-01-05 05:50:47
【问题描述】:

我有一个包含不受信任内容的 iframe 的首页。我在我控制的域上托管不受信任的内容,并且可以(理论上)对其进行更改。如果没有使用 Google Caja 之类的东西分析源代码,有什么方法可以防止不受信任的内容将框架本身导航到其他 URL? (或理想情况下将其限制在受信任的域中)

相关,但不完全:

背景:我的目标是允许不受信任的内容在 iframe 中运行并将一些用户数据传递给它,但我不希望不受信任的内容转而将这些数据发送到第 3 方。 (内容将被允许将任何结果发布到父窗口公开的 API。) 不受信任内容上的内容安全策略 HTTP 标头允许我限制所有方式的网络请求除了导航。

【问题讨论】:

    标签: javascript html security iframe


    【解决方案1】:

    我在 MDN 上偶然看到了这个新的内容安全策略选项(上面有一个小烧瓶,所以可能仍然是实验性的......)

    navigation-to

    https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2017-07-16
      • 1970-01-01
      • 2013-02-21
      • 1970-01-01
      • 1970-01-01
      • 2018-11-15
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多