从服务器禁用浏览器功能

Question

我认为出于安全和性能原因，如果服务器可以告诉浏览器，在它的响应中会很好：

看浏览器：我是一个简单的网站，我只需要 html 和 css，所以当你显示我的页面时请禁用 javascript。或者至少禁用这个我不需要的 API。

然后浏览器可以更快更安全地呈现该页面，因为它知道它不必做很多事情。我知道某些文档类型会触发某些呈现模式，并且某些元标记会改变浏览器的行为。有没有为此目的而设计的机制？

Answer 1

浏览器不会从这些知识中受益，因为浏览器的 HTML 解析器不会调用 JavaScript 解释器，除非遇到 <script> 标记。通过让浏览器解析没有任何 <script> 标记的 HTML 页面，您明确告诉浏览器跳过该“呈现模式”。请参阅here 以更详细地了解浏览器在解析文档时所做的工作。

我找不到任何限制页面使用 JavaScript 的元标记或 DOCTYPE 声明。

但是，这里的安全问题围绕着您的页面上运行的恶意或不安全 JavaScript 的可能性。

• 如果您的页面已经没有 JavaScript，那么您可以避免因 JavaScript 编写不当或其他错误导致的意外安全漏洞。

• 如果您仍然对页面上没有任何脚本感到偏执，请考虑通过 SSL 提供该页面；这样一来，攻击者将无法执行中间人攻击并将恶意代码注入到您的网页中，并在前往其目的地的途中。