AITOP

5月13日

21:36

Simon Willison’s Weblog（博客/媒体）

35

Simon Willison 发布了一个实验，展示如何在 CSP 保护的沙箱 iframe 中加载应用，并通过自定义 fetch() 拦截 CSP 错误，将错误信息传递给父窗口。父窗口可以提示用户将出错的域名添加到允许列表，然后刷新页面。该实验使用 GPT-5.5 xhigh 在 Codex 桌面应用中构建。这一方法解决了 CSP 严格策略下第三方资源加载的灵活性问题，为安全与可用性平衡提供了新思路。

论文内容安全策略 iframe 安全沙箱允许列表

推荐理由：做安全或前端开发的团队会感兴趣——这个实验让 CSP 允许列表动态化，既保持安全又减少用户被拦在门外的挫败感，值得点开看实现细节。