Ich habe einen nicht vertrauenswürdigen Code von einem Benutzer eingereicht und muss ihn in einer Sandbox-Umgebung in einem Browser ausführen.

Ich wurde darauf hingewiesen, dass Web-Worker dafür nicht sicher genug sein können und dass ein sandbxed iframe besser verwendet werden sollte. Diese Seite

https: //www.owasp.org/index.php/HTML5_Security_Cheat_Sheet#Web_Worker

sagt auch, dass Arbeiter nicht für nicht vertrauenswürdigen Code geeignet sind.

Aber wenn ich einen Worker aus einem Blob erstelle, hat seine URL sogar ein anderes Protokoll blob://). Wird in diesem Fall eine separate Ursprungsrichtlinie auf den Worker-Code angewendet?

Wenn es zusätzliche Gründe gibt, warum ein Worker (standardmäßig) im Vergleich zum Sandbox-Iframe (Zugriff auf IndexedDB oder etwas anderes) weniger eingeschränkt ist, besteht die Möglichkeit, einen Worker so einzurichten, dass er ausreichend eingeschränkt ist, oder soll ich trotzdem sandboxed iframe verwenden?