<html>
    <head>
      <base href="https://bugs.webkit.org/" />
    </head>
    <body>
      <p>
        <div>
            <b><a class="bz_bug_link 
          bz_status_NEW "
   title="NEW - Add flags allow-popups-to-escape-sandbox and allow-modals to iframe sandbox"
   href="https://bugs.webkit.org/show_bug.cgi?id=158875#c2">Comment # 2</a>
              on <a class="bz_bug_link 
          bz_status_NEW "
   title="NEW - Add flags allow-popups-to-escape-sandbox and allow-modals to iframe sandbox"
   href="https://bugs.webkit.org/show_bug.cgi?id=158875">bug 158875</a>
              from <span class="vcard"><a class="email" href="mailto:wilander&#64;apple.com" title="John Wilander &lt;wilander&#64;apple.com&gt;"> <span class="fn">John Wilander</span></a>
</span></b>
        <pre>I don't remember if it's part of the spec but we should make sure the call to confirm() returns false if the call was blocked by the sandbox. Doing so provides a safe fallback if an iframe's code is denied to ask the user for confirmation.

Otherwise &quot;allow-modals&quot; will allow an attacker to grant JavaScript execution but block a confirm prompt. A benign service might want to allow iframe integration but do what it can to prohibit clickjacking. Knowing whether you were able to display a confirmation UI may be crucial.</pre>
        </div>
      </p>
      <hr>
      <span>You are receiving this mail because:</span>
      
      <ul>
          <li>You are the assignee for the bug.</li>
      </ul>
    </body>
</html>