我有用戶提交一個不受信任的代碼足夠安全,我需要在瀏覽器沙盒環境中執行它。工人可以是一個不可信代碼
我被告知,網絡工作人員不能是足夠安全的,而一個sandbxed IFRAME應更好地被使用。本頁面:
https://www.owasp.org/index.php/HTML5_Security_Cheat_Sheet#Web_Workers
還表示,工人不適合不可信代碼。
但是,如果我從一個斑點創建工作,其URL甚至有一個不同的協議(blob://
)。在這種情況下,工人代碼是否應用了單獨的原產地策略?
如果還有其他原因,爲什麼工作人員(默認情況下)與沙箱化iframe(訪問IndexedDB或其他)相比受到的限制更少,是否有機會以某種方式設置工作人員,以便限制夠了,還是應該仍然使用沙盒iframe呢?