使用 srcdoc 在沙箱上设置 headers?
Set headers on sandbox with srcdoc?
我正在尝试使用允许脚本在我的沙盒 iframe 上设置一些 CSP 策略。如果 iframe 本身启用了脚本并且可以删除元标记,那么元标记自然不会起作用吗?有没有一种方法可以使用 srcdoc 创建 iframe 并仍然设置 CSP,或者我必须从服务器加载它?
csp 属性适用于 srcdoc iframe。作为本地方案,不需要响应 headers。只写 <iframe csp="defaul-src 'none'" srcdoc="something"> 将在 iframe 上强制执行 CSP,我想或多或少会做你想做的事情。这是指定的 here.
请记住,csp 属性目前仅在 chromium 中实现。另请注意,srcdoc 的行为仅在 M90 中得到修复。在此之前,我认为 chromium 错误地丢弃了 srcdoc iframe 的 csp 属性。
我正在尝试使用允许脚本在我的沙盒 iframe 上设置一些 CSP 策略。如果 iframe 本身启用了脚本并且可以删除元标记,那么元标记自然不会起作用吗?有没有一种方法可以使用 srcdoc 创建 iframe 并仍然设置 CSP,或者我必须从服务器加载它?
csp 属性适用于 srcdoc iframe。作为本地方案,不需要响应 headers。只写 <iframe csp="defaul-src 'none'" srcdoc="something"> 将在 iframe 上强制执行 CSP,我想或多或少会做你想做的事情。这是指定的 here.
请记住,csp 属性目前仅在 chromium 中实现。另请注意,srcdoc 的行为仅在 M90 中得到修复。在此之前,我认为 chromium 错误地丢弃了 srcdoc iframe 的 csp 属性。