newsmode
search
Меню
arrow_back Назад

CSP Allow-list Experiment

auto_awesomeКраткое саммари

Simon Willison описывает эксперимент с Content Security Policy (CSP): приложение загружается в защищённом CSP-песочницей iframe, а кастомный fetch() перехватывает ошибки CSP и передаёт их родительскому окну. Родительское окно предлагает пользователю добавить заблокированный домен в список разрешённых (allow-list) и перезагрузить страницу. Эксперимент продолжает предыдущую работу автора по тестированию выхода из CSP-iframe. Прототип был создан с помощью GPT-5.5 xhigh в приложении Codex.

13th May 2026

An experiment that shows that you can load an app in a CSP-protected sandboxed iframe (see previous note) and have a custom fetch() that intercepts CSP errors and passes them up to the parent window... which can then prompt the user to add that domain to an allow-list and then refresh the page.

I built this one with GPT-5.5 xhigh running in the Codex desktop app.

Recent articles

This is a beat by Simon Willison, posted on 13th May 2026.

Monthly briefing

Sponsor me for $10/month and get a curated email digest of the month's most important LLM developments.

Pay me to send you less!