JavaScript能否绕过iframe中的CSP元标签？

关键信息

测试是在iframe内容顶部注入CSP元标签进行的；随后不受信任脚本尝试移除或更改它失败了，这表明浏览器在解析过程中早期就强制执行了CSP。

资讯摘要

西蒙·威尔森研究了通过<meta>标签在iframe内部应用内容安全策略（CSP）时的行为。他的目标是构建一个安全的沙箱环境来嵌入AI生成的内容，而无需使用单独的域名。

他发现，即使恶意或不受信任的JavaScript在页面加载后试图操作或删除CSP元标签，浏览器仍会强制执行该策略。这意味着CSP在iframe内仍是一个有效的安全边界——这对设计嵌入式UI（如Claude Artifacts等工具）的开发者来说是一个关键洞察。

资讯正文

<p><strong>研究：</strong> <a href="https://github.com/simonw/research/tree/main/test-csp-iframe-escape#readme">JavaScript 是否能绕过 iframe 内部的 CSP meta 标签？</a></p>

<p>在尝试构建我自己的 Claude Artifacts 版本时，我开始好奇如何在不使用单独域名托管文件的情况下，将 CSP 头部应用到沙箱 iframe 中的内容。结果发现，你可以在 iframe 内容的顶部注入 <code>&lt;meta http-equiv="Content-Security-Policy"...&gt;</code> 标签，即使后续不受信任的 JavaScript 尝试修改它们，这些标签仍然会被遵守。</p>

来源与参考

1. 原始链接
2. Research: Can JavaScript Escape a CSP Meta Tag Inside an Iframe?