在我的网络应用中,我允许用户下载他们上传的html文件。 我想让这个下载最安全。
如果用户只是在新标签中打开一个html,它是不安全的,可能会有一些脚本来捕获cookie等。
我添加了标题" Content-Security-Policy:sandbox"这样的下载。它解决了这个问题。
但是我遇到了一些html文件子组的问题,这些文件是"书签"。文件包含简单的html,如
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<html>
<head>
<title>Opening http://example.com</title>
<meta http-equiv="REFRESH" content="0;url=http://example.com">
</HEAD>
<BODY style="font-family:Tahoma;Arial;font-size:12px;padding:20px;color:#aaa">
Opening <b>http://example.com</b>...
</BODY>
</HTML>
在新标签中打开后,我需要将用户重定向到文件中的主机。 它的工作没有标题&#34; Content-Security-Policy:sandbox&#34; ,但不能使用它。
我尝试了不同的沙盒模式 Content-Security-Policy:沙箱允许脚本 内容安全策略:沙箱允许顶部导航
但没有任何东西可以执行重定向。
有办法吗?