it-swarm.com.de

Sagen Sie dem Browser, dass meine Website keine Skripte enthält

Ich habe eine versteckte Tor-Service-Site erstellt, die absolut kein JavaScript oder andere Arten von clientseitigen Skripten enthält. Die Seite besteht aus HTML, CSS, Bildern und einigen JSPs zur Verarbeitung von Benutzereingaben.

Ich ermutige Benutzer, NoScript zu verwenden, jedoch hören Benutzer häufig nicht zu. Es ist zu ärgerlich, eine große Nachricht auf der Seite zu platzieren, die sie zwingt, Skripte zu deaktivieren, um nützlich zu sein, und Benutzer ignorieren Warnungen.

Gibt es eine Möglichkeit, meine Website dazu zu bringen, dem Browser des Benutzers mitzuteilen, dass meine Seite keine Skripte enthält, und diese zu ignorieren, wenn sie auf der Seite gefunden werden?

Ich mache dies als zusätzliche Vorsichtsmaßnahme gegen XSS, die von böswilligen Hackern oder von Ermittlern stammen kann, die versuchen, IPs von Benutzern auf meiner Website zu identifizieren.

BEARBEITEN: Um klar zu machen, dass die Website dem Browser dies mitteilen soll, möchte ich nicht jedem Besucher mitteilen müssen, wie er seinen Browser konfigurieren soll. Benutzer sind normalerweise dumm und faul.

70
k1308517

Eine gute Option ist es, Ihre Content Security Policy zu härten. Es ermöglicht Ihnen die Feinabstimmung der Ressourcen, die der Browser laden/ausführen wird, und wird von die meisten Browser unterstützt.

Betrachten Sie den folgenden Header:

Content-Security-Policy: default-src 'none'; img-src 'self'; style-src 'self';

Dies weist den Browser an, Skripte, Frames, Verbindungen und andere Objekte/Medien zu deaktivieren. Wir erlauben dann das Laden von Bildern und Stylesheets, jedoch nur aus derselben Domain.

136
grc