提问人:R. Kedis 提问时间:3/21/2023 最后编辑:R. Kedis 更新时间:3/21/2023 访问量:92
具有“allow-same-origin”但不具有“allow-scripts”的同源沙盒 iframe 是否会对父级构成安全风险?
Is a same-origin sandboxed iframe with `allow-same-origin` but not `allow-scripts` a security risk to the parent?
问:
我有一个包含以下嵌入元素的页面:example.comiframe
<iframe
srcdoc="<script>some possibly malicious js</script><p>some more content</p>"
sandbox="allow-same-origin"
/>
其目的是允许页面直接与帧内容交互,添加事件侦听器等,而无需使用帧间消息传递。example.com
这里缺少 for 沙盒指令对父母来说是否安全?例如,当像这样嵌入时,框架可以访问 cookie 或本地存储吗?allow-scriptsexample.com
我认为两者都设置了,这将是一个问题,但我不确定 iframe 如何在没有脚本的情况下访问父级。allow-scriptsallow-same-origin
答: 暂无答案
评论