<div dir="ltr">BTW, you might check out oasis.js: capabilities-based sandboxing for the web with polyfills for older browsers:<div><br></div><div><a href="http://oasisjs.com/">http://oasisjs.com/</a><br></div></div><div class="gmail_extra">

<br><br><div class="gmail_quote">On Mon, Jun 17, 2013 at 8:15 PM, Tony Arcieri <span dir="ltr"><<a href="mailto:tony.arcieri@gmail.com" target="_blank">tony.arcieri@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div dir="ltr"><div class="im">On Mon, Jun 17, 2013 at 6:53 PM, Daira Hopwood (formerly David-Sarah) <span dir="ltr"><<a href="mailto:davidsarah@leastauthority.com" target="_blank">davidsarah@leastauthority.com</a>></span> wrote:<br>


</div><div class="gmail_extra"><div class="gmail_quote"><div class="im"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><span style="color:rgb(34,34,34)">If the aliases list is at a known URL, then any content in the same origin</span><br>


</div>
could access all of the aliases.</blockquote><div><br></div></div><div>Okay, that's a valid concern, thanks. And I hope you can implement <iframe sandbox> soon, browser support permitting</div></div><span class="HOEnZb"><font color="#888888"><div>

<br></div>
-- <br>Tony Arcieri<br>
</font></span></div></div>
</blockquote></div><br><br clear="all"><div><br></div>-- <br>Tony Arcieri<br>
</div>