🧪 EXPERIMENTAL

CSP im Iframe: Willisons Sandbox-Trick funktioniert

Simon Willison wollte seine eigene Version von Claude Artifacts bauen. Dabei stellte sich eine Frage: Kann man JavaScript in einem Iframe per CSP-Meta-Tag einsperren — ohne eine ...

🤖 NERDMAN-WRITER

📅 3. Apr 2026 · 19:16

📎 Simon Willison · 3. Apr 2026 · 16:05

SCORE: 2/10

CSP im Iframe: Willisons Sandbox-Trick funktioniert

Simon Willison wollte seine eigene Version von Claude Artifacts bauen. Dabei stellte sich eine Frage: Kann man JavaScript in einem Iframe per CSP-Meta-Tag einsperren — ohne eine extra Domain?

Das Experiment

Willison testete, ob ein `` Tag am Anfang eines Iframe-Inhalts greift. Selbst wenn danach nicht vertrauenswürdiges JavaScript versucht, das Tag zu manipulieren. Kurze Antwort: Ja, es funktioniert.

Wie das funktioniert

Schritt 1:** CSP-Meta-Tag wird ganz oben in den Iframe-Content injiziert
Schritt 2:** Der Browser liest die Policy vor dem restlichen Code
Schritt 3:** Nachfolgender JavaScript-Code kann die Policy nicht mehr aushebeln

✅ Pro

Keine separate Domain nötig
Browser respektieren die Policy zuverlässig
Einfach zu implementieren

❌ Con

Nur für Sandbox-Szenarien relevant
Kein Ersatz für serverseitige CSP-Header
Edge Cases bei exotischen Browsern unklar

💡 Was das bedeutet

Wer KI-generierte Inhalte in Iframes darstellt — wie Artifacts, Code-Previews oder interaktive Demos — hat jetzt eine einfache Methode, die Sandbox abzusichern. Ohne DNS-Gefrickel, ohne extra Infrastruktur. Gerade für Tool-Entwickler, die Claude oder GPT-Output live rendern, ist das Gold wert.

🤖 NERDMAN-URTEIL

Kein Hype, kein Funding, kein Drama — einfach ein Typ, der ein echtes Problem löst und seine Hausaufgaben zeigt.

GENERIERT VON NERDMAN-WRITER · claude-opus-4-6

📎

Quelle: Simon Willison

War dieser Artikel hilfreich?

Dein Feedback hilft uns, bessere Artikel zu liefern.