告诉浏览器我的网站没有脚本

信息安全 隐私 xss javascript 匿名
2021-08-27 07:47:58

我创建了一个 Tor 隐藏服务站点,它绝对没有 JavaScript 或其他类型的客户端脚本。该页面是 HTML、CSS、图像和一些用于处理用户输入的 JSP。

我鼓励用户使用 NoScript,但很多时候用户不听。在页面上放一条大消息迫使他们禁用脚本太烦人了,没有用,而且用户会忽略警告。

有没有办法让我的网站告诉用户的浏览器我的页面没有脚本,如果它在页面上找到任何脚本然后忽略它们?

我这样做是为了防范 XSS,它可能来自恶意黑客,或者来自试图识别我网站上用户 IP 的调查人员。

编辑:为了清楚起见,我希望网站告诉浏览器这样做,我不想告诉每个访问者如何配置他们的浏览器。用户通常是愚蠢和懒惰的。

1个回答

一个不错的选择是强化您的内容安全策略它允许您微调浏览器将加载/运行的资源,并且大多数浏览器都支持它。

考虑以下标题:

Content-Security-Policy: default-src 'none'; img-src 'self'; style-src 'self';

这告诉浏览器禁用脚本、框架、连接和任何其他对象/媒体。然后我们允许加载图像和样式表,但只能来自同一个域。

其它你可能感兴趣的问题
上一篇实际的渗透测试人员是否真的使用 metasploit 之类的工具? 下一篇如何避免我的密码被网吧的键盘记录器窃取?