Können Mitarbeiter sicher genug für einen nicht vertrauenswürdigen Code sein
Ich habe einen nicht vertrauenswürdigen Code von einem Benutzer eingereicht und muss ihn in einer Sandbox-Umgebung in einem Browser ausführen.
Ich wurde darauf hingewiesen, dass Web-Worker dafür nicht sicher genug sein können und dass ein sandbxed iframe besser verwendet werden sollte. Diese Seite
https: //www.owasp.org/index.php/HTML5_Security_Cheat_Sheet#Web_Worker
sagt auch, dass Arbeiter nicht für nicht vertrauenswürdigen Code geeignet sind.
Aber wenn ich einen Worker aus einem Blob erstelle, hat seine URL sogar ein anderes Protokoll blob://
). Wird in diesem Fall eine separate Ursprungsrichtlinie auf den Worker-Code angewendet?
Wenn es zusätzliche Gründe gibt, warum ein Worker (standardmäßig) im Vergleich zum Sandbox-Iframe (Zugriff auf IndexedDB oder etwas anderes) weniger eingeschränkt ist, besteht die Möglichkeit, einen Worker so einzurichten, dass er ausreichend eingeschränkt ist, oder soll ich trotzdem sandboxed iframe verwenden?