背景与价值对高风险页面应用CSP sandbox可快速收敛能力并隔离上下文,减少攻击面与影响范围。统一规范sandbox默认:不允许脚本、表单、插件等;按需启用个别能力。差异化:仅对特定高风险页面启用,避免影响正常功能。协同:配合frame-ancestors与Permissions-Policy治理。核心实现头设置type Res = { setHeader: (k: string, v: string) => void } function setSandbox(res: Res, allow: string[] = []) { const v = ['sandbox', ...allow].join(' '); res.setHeader('Content-Security-Policy', v) } 落地建议在风险页面统一启用sandbox并最小化能力,按需添加 `allow-forms/allow-scripts` 等。验证清单是否对风险页面下发sandbox;能力是否最小化且不影响必要功能。
投稿
微信公众账号
微信扫一扫加关注
评论 返回
顶部
发表评论 取消回复