是否设置iframe的内容安全策略?
消费者网站(如nytimes.com)是否有办法确保其加载的iframe无法与服务器通信,只能访问postMessage?这可以从承载iframe文档的服务器上完成。但我不想信任那个服务器 这就是我需要它的原因:我想使用微妙的加密来存储不可提取的asymentic密钥,加载一些由第三方审核的带有内联JS的静态HTML,我确信这就是使用SRI加载的内容,最后通过usibg postMessage将一些数据传递给它,并通过覆盖postMessag关闭sanbox中的门,向用户代理的用户保证从此点开始解密和显示的任何数据不会泄露给任何其他人(假设用户代理遵循web标准) 用户如何知道他们可以信任iframe?因为iframe会显示他们选择的一些熟悉的字符串,在门关上后由相同的私钥解密。由于它是不可提取的,没有服务器可以解密它,因此它必须是用户信任的经过审核的安全HTML+JS环境是否设置iframe的内容安全策略?,iframe,user-agent,content-security-policy,webcrypto-api,subresource-integrity,Iframe,User Agent,Content Security Policy,Webcrypto Api,Subresource Integrity,消费者网站(如nytimes.com)是否有办法确保其加载的iframe无法与服务器通信,只能访问postMessage?这可以从承载iframe文档的服务器上完成。但我不想信任那个服务器 这就是我需要它的原因:我想使用微妙的加密来存储不可提取的asymentic密钥,加载一些由第三方审核的带有内联JS的静态HTML,我确信这就是使用SRI加载的内容,最后通过usibg postMessage将一些数据传递给它,并通过覆盖postMessag关闭sanbox中的门,向用户代理的用户保证从此点开始
但是,用户和嵌入站点如何验证并确保iframe的内容安全策略是什么呢?好的,原来HTML有一个“http equiv”元标记,可以设置该HTML文档的内容安全策略。并且封闭站点可以使用SRI来确保它正在加载一个它以前审核过的文档 因此,这将照顾到封闭站点的信任。然而,我不确定主流浏览器的用户如何验证
- 加载的iframe文档与之前加载的文档相同(子资源完整性对用户可见)
- 加载的iframe文档具有正确的内容安全策略,除非它们查看源
也许有人可以解决上面两个问题,用户如何信任加载的文档,以及门是否关闭。网络使得人们很难不相信互联网上的服务器随时串通和更改代码。用户只需在注册期间信任iframe的域,然后选择他们的特殊短语来保证自己。这句话也会出现在输入的键盘焦点上,表示键入是安全的,以防止点击劫持。您可能会问,如果代码经过审核并加载了SRI,为什么我需要有内容安全策略。首先,我可以在该环境中接收和运行任意代码。其次,因为用户需要信任环境,而消费者网站可能欺骗了用户并加载了其他内容。用户需要知道门已关闭,然后才能输入密码解锁环境。