Esperimento di Allow-List CSP elude le restrizioni degli iframe in sandbox
Il 13 maggio 2026, Simon Willison ha presentato un esperimento che mostra un metodo per caricare un'applicazione all'interno di un iframe in sandbox protetto da CSP. Questo approccio utilizza una funzione fetch() personalizzata che intercetta gli errori CSP e li trasmette alla finestra padre, chiedendo all'utente di includere il dominio bloccato in un elenco consentito e aggiornare la pagina. L'esperimento ha utilizzato GPT-5.5 xhigh in esecuzione nell'applicazione desktop Codex. Inoltre, Willison offre un riepilogo mensile via email sponsorizzato per $10/mese, evidenziando i progressi significativi nella tecnologia LLM.
Fatti principali
- L'esperimento dimostra il caricamento di un'app in un iframe in sandbox protetto da CSP
- Una fetch() personalizzata intercetta gli errori CSP e li passa alla finestra padre
- La finestra padre chiede all'utente di aggiungere il dominio all'elenco consentito e aggiornare
- Realizzato con GPT-5.5 xhigh nell'app desktop Codex
- Pubblicato da Simon Willison il 13 maggio 2026
- Sponsorizzazione disponibile per $10/mese per un digest LLM curato
Entità
Istituzioni
- Codex