如何在沙盒iframe中创建工作线程?

时间:2015-05-31 14:53:59

标签: javascript iframe sandbox web-worker

我正在构建一个用于运行不受信任代码的沙箱。出于这个原因,我创建了一个沙盒iframe(仅在其allow-scripts属性中设置了sandbox权限)以保护原点,然后在iframe中创建一个Web工作者以确保如果不受信任的代码具有无限循环,则单独的线程并防止冻结主应用程序。

问题是,如果我尝试通过https加载沙箱,则最近的Google Chrome不允许创建工作人员。在其他浏览器上它可以工作,如果我通过http。

在Chrome中加载沙箱也可以

以下是代码:

的index.html: 

<!DOCTYPE html>
<html>
  <head>
    <title>Sandbox test</title>
    <script type="text/javascript" src="main.js"></script>
  </head>
  <body></body>
</html>

main.js: 

// determining absolute path of iframe.html
var scripts = document.getElementsByTagName('script');
var url = scripts[scripts.length-1].src
    .split('/')
    .slice(0, -1)
    .join('/')+'/iframe.html';

window.addEventListener("load", function() {
    var iframe = document.createElement('iframe');
    iframe.src = url;
    iframe.sandbox = 'allow-scripts';
    iframe.style.display = 'none';
    document.body.appendChild(iframe);

    window.addEventListener('message', function(e) {
        if (e.origin=='null' && e.source == iframe.contentWindow) {
            document.write(e.data.text);
        }
    });
}, 0);

Iframe.html的: 

<script src="iframe.js"></script>

iframe.js: 

var code = 'self.postMessage({text: "sandbox created"});';
var url = window.URL.createObjectURL(
    new Blob([code], {type: 'text/javascript'})
);

var worker = new Worker(url);

// forwarding messages to parent
worker.addEventListener('message', function(m) {
    parent.postMessage(m.data, '*');
});

演示:

http://asvd.github.io/sandbox/index.html - http演示(无处不在)

https://asvd.github.io/sandbox/index.html - https演示(不在Chrome中运行)

https://github.com/asvd/asvd.github.io/tree/master/sandbox - 来源(完全如此问题中的内联)

谷歌Chrome随后抱怨:

混合内容:&#39; https://asvd.github.io/sandbox/iframe.html&#39;是通过HTTPS加载的,但是请求了一个不安全的工作人员脚本&#39; blob:null / a9f2af00-47b1-45c1-874e-be4003523794&#39;。此请求已被阻止;内容必须通过HTTPS提供。

我还尝试通过https从文件而不是blob加载工作程序代码,但是在任何地方都不允许这样做,因为我无法从iframe访问相同来源的文件。

我想知道是否有机会在Chrome中使这样的沙盒工作,而不向iframe添加allow-same-origin权限。

1 个答案:

答案 0 :(得分:3)

正如您所发现的,Chrome不允许您从https页面访问非https内容(例如数据blob),并且还将blob URL视为不是https。如果没有allow-same-origin,则无法从任何域加载任何工作人员脚本文件。

我唯一的建议是从单独的https服务域(/ subdomain)提供iframe,然后同时拥有allow-scriptsallow-same-origin。由于位于单独的域中,iframe中的代码仍然无法访问父页面的DOM /数据。

相关问题
最新问题