Je crée dynamiquement une iframe dans mon application, le résultat se présente comme suit:Est-il sûr d'avoir sandbox = "allow-scripts allow-popups autoriser-same-origin" sur <iframe />?
<iframe src="blob:http%3A//localhost%3A9292/0194dfed-6255-4029-a767-c60156f3d359"
scrolling="no" sandbox="allow-scripts allow-popups allow-same-origin"
name="sandbox" style="width: 100%; height: 100%; border: 0px;"></iframe>
Est-il sûr d'avoir une telle configuration de bac à sable (permettant en particulier le contenu iframe à traiter comme étant de la même origine)?
Mais j'ai besoin d'avoir la possibilité d'exécuter des scripts dans iframe. – Kosmetika
Je sais, ce qui le rend dangereux :). Cependant, pourquoi avez-vous besoin de allow-same-origin sur les iframes? Je trouve des petits cas où vous avez réellement besoin de cela –
Je pense que cela peut être mal comprendre ce que permet-même-origine? Il ne traite pas l'iframe comme provenant de la même origine que la page parente. Il traite l'iframe comme provenant du même domaine ** que lui-même ** (au lieu d'agir comme s'il s'agissait d'une page hébergée uniquement, non connectée à autre chose sur votre domaine). Le seul risque que j'ai entendu (et pas vu démontré) est qu'un iframe pourrait changer lui-même pour enlever son propre sandboxing. – Namey