⚠️ CSP Allow-list Experiment

Саймон Уиллисон экспериментирует с обходом Content Security Policy через iframe-песочницу. Идея в том, что приложение загружается в sandboxed iframe с CSP-защитой, но через кастомный fetch() перехватывает ошибки CSP и передаёт их родительскому окну. Родительское окно может предложить пользователю добавить заблокированный домен в allow-list и перезагрузить страницу.

Это не столько атака, сколько демонстрация UX-паттерна для веб-приложений, которым нужен гибкий контроль над загрузкой внешних ресурсов. Вместо того чтобы полностью блокировать скрипты или изображения с неизвестных доменов, можно дать пользователю возможность явно разрешить конкретный источник в рантайме.

Полная версия — в Telegram

Читать пост полностью

~1 мин чтения · @qvabo_studio

В Telegram

Оригинал

Tier-1 пресса

OpenAI · Anthropic · The Verge

Qvabo Studio

Редакция

⚠️ CSP Allow-list Experiment

Читать пост полностью

Ещё в ленте

💵 Figma отчиталась за Q1: выручка растёт, но рынок сомневается

❗️CHAL: новая архитектура для дебатов ИИ на основе иерархических агентов

🔨 Настоящие проигравшие в суде Маска против Альтмана

🕶 Graphon AI выходит из тени с $8,3 млн на создание недостающего слоя данных для LLM

🤖 Физический AI выходит на заводы: компании тестируют человекоподобных роботов

Perplexity запускает коннектор к Snowflake для запросов на естественном языке

🤖 Когда ИИ начнёт строить себя сам: стартап Ричарда Сокера на $650 млн

👩‍⚕️ Аудитория Онтарио выявила, что ИИ-секретари врачей выдумывают данные

☁️ Amazon Bedrock AgentCore получил поддержку корпоративных политик Chrome для управления браузером ИИ-агентов

❗️ Неожиданный баг в ClickHouse замедлил биллинг Cloudflare

❓ Готовность данных для агентного ИИ в финансовом секторе