研究证实,沙盒化 iframe 中的 JavaScript 无法绕过 CSP meta 标签,即使通过 DOM 操作或导航到 data URI 也不行。这为在不使用独立域的情况下嵌入不受信任内容提供了可靠的安全机制。该发现在 Chromium 和 Firefox 浏览器中均得到验证。
背景
内容安全策略(CSP)是一种安全标准,通过限制页面可以加载的资源来帮助防止跨站脚本攻击。沙盒化 iframe 通常用于隔离不受信任的内容,同时允许有限的功能。
- 来源
- Simon Willison
- 发布时间
- 2026年4月4日 00:05
- 评分
- 6.0 / 10