工人可以是一個不可信代碼

Question

我有用戶提交一個不受信任的代碼足夠安全，我需要在瀏覽器沙盒環境中執行它。

我被告知，網絡工作人員不能是足夠安全的，而一個sandbxed IFRAME應更好地被使用。本頁面：

https://www.owasp.org/index.php/HTML5_Security_Cheat_Sheet#Web_Workers

還表示，工人不適合不可信代碼。

但是，如果我從一個斑點創建工作，其URL甚至有一個不同的協議（blob://）。在這種情況下，工人代碼是否應用了單獨的原產地策略？

如果還有其他原因，爲什麼工作人員（默認情況下）與沙箱化iframe（訪問IndexedDB或其他）相比受到的限制更少，是否有機會以某種方式設置工作人員，以便限制夠了，還是應該仍然使用沙盒iframe呢？

Answer 1

在這種情況下適用於勞動者代碼獨立的起源策略？

沒有，從the current editor's draft of the File API specification：

的Blob網址的來源必須是相同的由現任設置中指定的時間創建它的方法對象的有效腳本產地 - 要麼網址.createObjectURL或URL.createFor - 被調用。

---

其他原因，爲什麼工人（默認）限制較小相較於沙盒iframe的

沙盒I幀可以比跨域通信的其他東西指定一些權限。例如，您可以阻止沙盒內容打開彈出窗口。儘管網絡工作者目前沒有API來完成其中的許多工作。

---

是否有任何機會，以建立一個工人不知何故，以便它有足夠的限制

只是不適合網絡工作者的任何安全機制。有在網絡平臺正如你指出隔離不受信任的代碼，例如沙盒iframe的其他工具。你可以有一個沙盒iframe中創建一個網絡工作者，如果這是任何好轉。