这不是一个常见问题,但我想知道是否存在任何技巧或即将推出的标准。
下面是一个流程以及我想要实现的内容。
- 从服务器端加载的 Web 应用程序
- 客户端脚本加载一些安全内容(不是来自#1),这些内容需要受到网络应用程序提供商的保护。它可以直观地展示给用户。
- Web 应用程序提供商知道安全内容在哪里(Dom 路径中),并且可能会尝试通过放置脚本来捕获它
- 但是,安全内容不应从服务器(即使是同一来源)或外部应用程序(如果可能的话,甚至从开发者工具)劫持
编辑:
为了更好地理解,它适用于 Web 应用程序不在数据库中保存用户数据而是从其他地方加载数据的用例。以防万一,我需要保护 Web 应用程序中的数据,这在常规 Web 应用程序中并不常见。
最佳答案
您应该使用内容安全策略 (CSP),使浏览器能够拒绝注入(inject)攻击。正确设置这些可能有点棘手,所以我会使用 Report URI帮助您顺利进行。诀窍是首先使用仅报告模式,直到验证设置,然后切换到强制执行。
关于security - 保护来自同源服务器的 HTML 内容,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/54080765/