我可以禁止外部可执行内容(外部 javascript)吗?

【问题标题】:Can I ban external executable content (external javascript)?我可以禁止外部可执行内容(外部 javascript)吗?
【发布时间】:2017-09-29 20:21:03
【问题描述】:

我正在开发一个执行客户端解密的 javascript 程序。该代码是从受信任的来源检索的,但它使用 gui 工具包(语义 ui)。我已经打包了语义用户界面,但是,它的语义仍然从谷歌(字体)加载了一些外部内容。我想确保没有第三方能够注入代码并干扰客户端解密(窃取密码)。是否有可能禁止所有不是来自源域的可执行内容?

【问题讨论】:

  • 当你说“一个javascript程序”时,你是指一个网络应用程序吗? node.js 应用程序?其他框架?
  • 一个网络应用程序。

标签: javascript security cryptography


【解决方案1】:

完全可以将可执行内容(或任何内容)限制为源自您的域的内容。你会想使用Content Security Policy,你可能会使用script-src 'self'; font-src 'fonts.google.com'之类的东西。您还应该使用https 使攻击者更难篡改/欺骗脚本。

【讨论】:

  • 这似乎几乎正是我想要的。似乎它甚至可以阻止无害的内容,例如图像,但这可以解决。谢谢!
猜你喜欢
  • 1970-01-01
  • 2017-06-02
  • 1970-01-01
  • 1970-01-01
  • 2023-04-04
  • 1970-01-01
  • 1970-01-01
  • 2021-04-11
  • 2018-03-26
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode