Experimento: Allow-list Dinâmica para CSP em iframes com IA
O Desafio de CSP em iframes
Content Security Policy (CSP) é uma medida de segurança fundamental em aplicações web modernas. Ela estabelece regras rigorosas sobre quais recursos podem ser carregados, reduzindo significativamente o risco de ataques XSS e injeção de código. Porém, essa restrição pode ser problemática ao trabalhar com iframes sandboxed, especialmente quando você não consegue prever todas as origens de recursos que precisarão ser carregadas.
A Solução: Interceptação Dinâmica de Erros
O experimento demonstra uma abordagem inovadora para resolver esse impasse. A ideia é criar um mecanismo de fetch() customizado que roda dentro do iframe protegido. Quando a CSP bloqueia uma requisição, em vez de simplesmente falhar silenciosamente, o interceptador captura o erro e o passa para a janela pai (a aplicação principal).
Com essa informação, a janela pai pode oferecer ao usuário a opção de adicionar aquele domínio à lista de permissões (allow-list). Se o usuário concordar, a página é recarregada com a nova configuração de CSP, permitindo que o recurso seja carregado com segurança.
Construído com IA
O que torna este experimento particularmente interessante é que foi desenvolvido utilizando inteligência artificial — especificamente, GPT-5.5 xhigh executado no Codex, a aplicação desktop de codificação. Isso demonstra como ferramentas de IA modernas conseguem resolver problemas complexos de segurança web, gerando código que equilibra praticidade com proteção.
O experimento é um bom exemplo de como IA pode ser usada para explorar soluções criativas em web security, permitindo que desenvolvedores prototipem ideias rapidamente e resolvam problemas que antes exigiriam várias iterações manuais.
Baseado no artigo original de simon_willison — ver fonte