带有内容安全策略的iFrame Sandbox

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了带有内容安全策略的iFrame Sandbox相关的知识,希望对你有一定的参考价值。

我认为这只是对规范的一个简单误解。但是,我遇到了在沙盒保护的iFrame中包含脚本的问题。具体来说,我正在处理的代码如下。

在top.html中:

<iframe src="framed.html" sandbox="allow-scripts"></iframe>

在framed.html中

...
<head>
  <meta http-equiv="Content-Security-Policy" content="script-src example.com">
  <script src="http://example.com/script.js"></script>
</head>
...

在Chrome中运行此文件时,它会给我错误:

拒绝加载脚本'http://example.com/script.js',因为它违反了以下内容安全策略指令:“script-src localhost:9000”。

为什么阻止脚本加载?我知道如果没有allow-same-origin,iFrame会获得一个完全独特的起源,它不等于任何其他来源。因此,script-src 'self'不会起作用。但是,我试图从CSP中明确调用的原点加载脚本。思考?

更新:创建JSFiddle以展示问题。

答案

当您使用具有唯一来源的沙盒页面时,您无法在CSP中放置没有方案的主机,这就是违反该策略的原因。使用script-src https://example.com或script-src http://example.com甚至script-src https://example.com https://example.com,并且CSP将正确放宽(请注意,CSP是基于白名单的,默认情况下大多数情况都是不允许的)。

正如the grammar from the CSP specification所示,CSP指令中的方案是optional

; Schemes: "https:" / "custom-scheme:" / "another.custom-scheme:"
scheme-source = scheme-part ":"

; Hosts: "example.com" / "*.example.com" / "https://*.example.com:12/path/to/file.js"
host-source = [ scheme-part "://" ] host-part [ port-part ] [ path-part ]
scheme-part = scheme
              ; scheme is defined in section 3.1 of RFC 3986.
host-part   = "*" / [ "*." ] 1*host-char *( "." 1*host-char )
host-char   = ALPHA / DIGIT / "-"
port-part   = ":" ( 1*DIGIT / "*" )
path-part   = path-abempty
              ; path-abempty is defined in section 3.3 of RFC 3986.

但是没有allow-same-origin令牌的沙盒框架将具有null原点,并且URL匹配算法不允许无方案指令匹配(下面显示的算法的相关部分):

6.6.1.6. url是否在重定向计数的原点匹配表达式?给定URL(url),源表达式(表达式),原点(原点)和数字(重定向计数),如果url匹配表达式,则此算法返回“匹配”,否则返回“不匹配”。

...

如果表达式与主机源语法匹配:

  1. 如果url的主机是null,则返回“不匹配”。 如果url的主机是null,则返回“不匹配”。 如果expression没有scheme-part,则返回“不匹配”,除非满足下列条件之一: origin的计划是url的计划 origin的方案是“http”,而url的方案是“https”,“ws”或“wss”。 origin的方案是“https”,而url的方案是“wss”。

在给定的示例中:

  • originnull(因为使用没有sandboxallow-same-origin)。
  • 网址是http://example.com/script.js

null origin的方案与最后三种情况中的任何一种都不匹配,因此没有scheme的主机名将不匹配任何URL,因此违反了该策略。

以上是关于带有内容安全策略的iFrame Sandbox的主要内容,如果未能解决你的问题,请参考以下文章

iframe的sandbox使用

设置 iframe 的内容安全策略?

内容安全策略框架祖先。 iframe 不会在 iOS10 中加载内容

尝试渲染 iframe:祖先违反了以下内容安全策略指令:“frame-ancestors 'none'”

由于内容安全策略,无法在Iframe中加载BIRT报告的图像

内容安全策略框架-祖先