it-swarm-eu.dev

Di 'al browser che il mio sito non ha script

Ho creato un sito di servizio nascosto Tor che non ha assolutamente JavaScript o altri tipi di script lato client. La pagina è HTML, CSS, immagini e alcuni JSP per la gestione dell'input dell'utente.

Incoraggio gli utenti a utilizzare NoScript, tuttavia molte volte gli utenti non ascoltano. Inserire un grosso messaggio sulla pagina costringendoli a disabilitare gli script è troppo fastidioso per essere utile e gli utenti ignorano gli avvisi.

Esiste un modo in cui posso fare in modo che il mio sito informi il browser dell'utente che la mia pagina non ha script e se ne trova uno sulla pagina per ignorarli?

Lo sto facendo come ulteriore precauzione contro XSS che potrebbe provenire da hacker malintenzionati o da investigatori che tentano di identificare gli IP degli utenti sul mio sito.

EDIT: Solo per chiarire che voglio che il sito web dica al browser di fare questo, non voglio dire a ogni visitatore come configurare il proprio browser. Gli utenti sono stupidi e pigri di solito.

70
k1308517

Una buona opzione è quella di rafforzare la tua Politica sulla sicurezza dei contenuti . Ti permette di mettere a punto le risorse che il browser caricherà/eseguirà ed è supportato da la maggior parte dei browser .

Considera la seguente intestazione:

Content-Security-Policy: default-src 'none'; img-src 'self'; style-src 'self';

Questo dice al browser di disabilitare script, frame, connessioni e qualsiasi altro oggetto/supporto. Consentiamo quindi di caricare immagini e fogli di stile, ma solo dallo stesso dominio.

136
grc