标签: javascript html5 security iframe web-worker
我正在创建一个托管第三方应用程序的Web平台。为了确保安全,我需要外部脚本在隔离的环境中运行。在HTML5中,归结为2个选项:
它们都可以阻止访问主线程*和DOM,但它们仍然需要在内存资源和Internet访问方面受到限制。是否可以限制web worker / iframe可以使用的RAM并阻止访问XHR对象(以及WebSockets和任何其他访问Web的方式)?
*我认为iframe仍然在主线程上,但没关系
答案 0 :(得分:1)
Google使用Caja为您完成了大部分繁重工作。
他们用这个来创建一个安全的沙盒'广告在页面上运行,同时隔离它们不会造成太大的伤害。