<div dir="ltr">On Mon, Jun 17, 2013 at 6:53 PM, Daira Hopwood (formerly David-Sarah) <span dir="ltr"><<a href="mailto:davidsarah@leastauthority.com" target="_blank" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=davidsarah@leastauthority.com&cc=&bcc=&su=&body=','_blank');return false;">davidsarah@leastauthority.com</a>></span> wrote:<br>

<div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im"><span style="color:rgb(34,34,34)">If the aliases list is at a known URL, then any content in the same origin</span><br>

</div>
could access all of the aliases.</blockquote><div><br></div><div style>Okay, that's a valid concern, thanks. And I hope you can implement <iframe sandbox> soon, browser support permitting</div></div><div><br></div>

-- <br>Tony Arcieri<br>
</div></div>