Ferramenta: experimento de lista de permissões CSP

Ferramenta: experimento de lista de permissões CSP


Um experimento que mostra que você pode carregar um aplicativo em um iframe em sandbox protegido por CSP (consulte a nota anterior) e ter um fetch() que intercepta erros de CSP e os transmite para a janela pai… que pode solicitar ao usuário que adicione esse domínio a uma lista de permissões e atualize a página.

Captura de tela de uma ferramenta da web intitulada "Experimento de lista de permissões CSP" com botões Redefinir amostra, Limpar lista de permissões, Atualizar visualização. O painel esquerdo mostra o código-fonte HTML começando com <!doctype html>. O painel direito mostra Visualização com cabeçalho CSP default-src ‘none’; script-src ‘inseguro-inline’; estilo-s… e título "Teste de busca em sandbox". Uma caixa de diálogo modal de tools.simonwillison.net é uma leitura sobreposta: "O sandbox tentou se conectar a: https://api.inaturalist.org Adicionar esta origem à lista de permissões connect-src do CSP e atualizar a página?" com uma caixa de seleção desmarcada "Não permita que o tools.simonwillison.net avise você novamente" e botões Cancelar e OK. Abaixo está "Mensagens da sandbox" mostrando fetch-catch bloqueado https://api.inaturalist.org/v1/observations?per… connect-src · https://api.inaturalist.org. No canto inferior esquerdo está "Origens fetch() permitidas" com um campo de entrada contendo https://api.github.com, um botão Adicionar e uma tag https://api.github.com x.” src=”https://static.simonwillison.net/static/2026/csp-allow.jpg”/></p>
</div>
<p><br />
<br /><a href=Source link

Postagens Similares

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *