Javascript 不允许IFrame中的网络连接

我有一个框架，看起来像这样：

框架中可能有一些javascript，这没关系

如何防止该帧的内容连接到网络

这包括： -Javascript的HTTP请求和WebSocket连接等 -CSS中引用的远程资源 -HTML代码中的外部文件

---

是否有某种沙盒规则来禁用远程连接，或者我必须将所有这些都正则化？如果是这样的话，在应用正则表达式时我应该注意什么呢？

目前没有可靠的方法来实现这一点

沙盒属性无法应用您尝试在此处应用的限制类型。可以通过一些困难实现，但目前无法将此类策略可靠地应用于内容由srcdoc属性设置的，因为无法模拟此类文档的HTTP头。事实上，带有srcdoc的iframe被简单地视为嵌入它的页面的一部分，并从该页面继承任何内容安全策略

W3C规范草案提出了csp属性。将来，这可能可用于对此类文档应用限制

---

然而，与此同时，您可能需要通过沙箱域提供这些内容，或者重新考虑您的设计。

这是不可能的。在客户端，没有有效可靠的方法来修改iframe的行为。在应用regex时，我应该注意什么您应该记住，这是一项相当不可能完成的任务，如果srcdoc内容来自不受信任的来源，那么几乎所有您认为合适的解决方案都很可能仍然存在安全风险。