我有一个首页,其中包含一个带有不受信任内容的iframe。我在我控制的域上托管不受信任的内容,并且(理论上)可以对其进行更改。如果没有像谷歌Caja那样分析源代码,我有什么方法可以防止不受信任的内容将框架本身导航到其他网址? (或理想情况下将其限制在可信域中)
相关,但不完全:
后台:我的目标是允许不受信任的内容在iframe中运行并将一些用户数据传递给它,但我不希望不受信任的内容转过来并发送此内容数据到第三方。 (内容将被允许postMessage将任何结果发送到父窗口公开的API。)内容安全策略不受信任内容上的HTTP标头允许我限制除导航之外的所有网络请求。< / p>
答案 0 :(得分:0)
我随机看到了MDN上暗示的这个新的内容安全策略选项(上面有一点点,所以可能仍然是实验性的......)
navigation-to
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy