1unitedpower: sandbox="allow-scripts" wirkt invers

Beitrag lesen

SELF-Forum

sandbox="allow-scripts" wirkt invers

1unitedpower
Informationen zu den Bewertungsregeln

Ein zusätzliches allow-same-origin hilft. Warum das notwendig ist, verstehe ich allerdings nicht.

Dann wird das Sandboxing allerdings ineffektiv, weil ein Skript innerhalb des iframes einfach das sandbox-Attribut vom iframe entfernen könnte. Die Spec warnt ausdrücklich vor dieser Kombination.

@mathefritz Ich würde dem gesandboxten Skript keinen direkten Zugriff auf den Eltern Browsing-Context geben, sondern postMessage für die Kommunikation verwenden.

Beitrag melden
Informationen zu den Bewertungsregeln
0 28

sandbox="allow-scripts" wirkt invers

mathefritz
  • html
  • javascript
  1. 0
    Matthias Apsel
    1. 0
      mathefritz
      1. 0
        Matthias Apsel
        1. 0
          mathefritz
          1. 0
            Matthias Apsel
      2. 0
        JürgenB
  2. 0
    MudGuard
    1. 0
      mathefritz
  3. 0
    Matthias Apsel
    1. 0
      mathefritz
      1. 0
        Matthias Apsel
    2. 0
      1unitedpower
      1. 0
        mathefritz
        1. 1
          Matthias Apsel
          1. 0
            mathefritz
            1. 0
              Gunnar Bittersmann
              • design/layout
              1. 0
                mathefritz
                1. 0
                  Gunnar Bittersmann
                  1. 0
                    mathefritz
                    1. 0
                      JürgenB
                      1. 0
                        mathefritz
                        1. 0
                          JürgenB
          2. 0
            mathefritz
            1. 0
              Gunnar Bittersmann
              • css
              1. 0
                mathefritz
              2. 0
                mathefritz
              3. 0
                mathefritz