带有内容安全策略的iFrame沙盒

当您使用具有唯一起源的沙盒页面时，无法在CSP中放置没有方案的主机，因此违反了策略。使用 script-src https://example.com 或 script-src http://example.com 或甚至是 script-src https://example.com http://example.com，CSP将正确地放宽（请注意，默认情况下CSP是基于白名单的，大多数内容都被禁止）。

---

正如CSP规范中的语法所示，CSP指令中的方案是可选的:

; Schemes: "https:" / "custom-scheme:" / "another.custom-scheme:"
scheme-source = scheme-part ":"

; Hosts: "example.com" / "*.example.com" / "https://*.example.com:12/path/to/file.js"
host-source = [ scheme-part "://" ] host-part [ port-part ] [ path-part ]
scheme-part = scheme
              ; scheme is defined in section 3.1 of RFC 3986.
host-part   = "*" / [ "*." ] 1*host-char *( "." 1*host-char )
host-char   = ALPHA / DIGIT / "-"
port-part   = ":" ( 1*DIGIT / "*" )
path-part   = path-abempty
              ; path-abempty is defined in section 3.3 of RFC 3986.

但是没有allow-same-origin令牌的沙箱框架将具有null起源，URL匹配算法不允许无方案指令匹配（下面显示了相关部分算法）:

6.6.1.6. URL与重定向次数匹配表达式吗？ 给定一个URL（url），一个源表达式（expression），一个起始点（origin）和一个数字（redirect count），该算法返回“匹配”，如果url与expression匹配，否则返回“不匹配”。
...
3. 如果expression符合host-source语法: - 如果url的主机为空，则返回“不匹配”。 - 如果expression没有scheme-part，则除非满足以下条件之一，否则返回“不匹配”： - origin的方案是url的方案 - origin的方案是“http”，而url的方案是“https”，“ws”或“wss”之一。 - origin的方案是“https”，而url的方案是“wss”。
在给定的例子中：

• origin的方案是null（因为使用了sandbox而没有使用allow-same-origin）。
• url是http://example.com/script.js

null源的方案不符合最后三种情况中的任何一种，因此不带方案的主机名不会匹配任何URL，因此违反了策略。