CSP 允许列表实验
CSP Allow-list Experiment
CSP(Content Security Policy)允许列表实验在受CSP保护的沙箱化iframe中加载应用,并实现自定义`fetch()`拦截CSP错误并传递至父窗口。父窗口提示用户将域名添加至允许列表后刷新页面。右侧面板显示带有`default-src 'none'; script-src 'unsafe-inline'`等CSP标头的预览。模态对话框询问是否将`https://api.inaturalist.org`加入CSP connect-src允许列表,并提供“取消”和“确定”按钮。左下角输入框包含已允许的源`https://api.github.com`。该功能由Codex桌面应用中的GPT-5.5 xhigh构建。
工具:CSP 允许列表实验
该实验展示了如何在受 CSP 保护的沙箱化 iframe 中加载应用(参见上一条注释),并拥有一个自定义的 fetch(),它能拦截 CSP 错误并将其传递到父窗口……父窗口随后可提示用户将该域名添加到允许列表,然后刷新页面。右侧面板显示带有 CSP 标头 default-src 'none'; script-src 'unsafe-inline'; style-s... 的预览,标题为“Sandbox fetch test”。来自 tools.simonwillison.net 的模态对话框覆盖显示:“沙箱尝试连接到:https://api.inaturalist.org 是否将此源添加到 CSP connect-src 允许列表并刷新页面?”下方有一个未勾选的复选框“不再允许 tools.simonwillison.net 提示您”,以及“取消”和“确定”按钮。再下方是“来自沙箱的消息”,显示 fetch-catch blocked https://api.inaturalist.org/v1/observations?per... connect-src · https://api.inaturalist.org。左下角是“允许的 fetch() 源”,包含一个输入框(内容为 https://api.github.com)、一个“添加”按钮,以及一个标签 https://api.github.com x。
我使用 Codex 桌面应用中运行的 GPT-5.5 xhigh 构建了此功能。
标签:content-security-policy、iframes、安全