nop*_*123 2 javascript security
我知道内联 JS 不利于性能,但为什么它不利于安全呢?你能向我解释一下为什么吗?有一些例子吗?
限制性内容安全策略可以通过禁止除具有特定哈希 \xc2\xb9 的脚本之外的所有脚本来帮助减少脚本注入漏洞的影响。
\n\non*如果您以属性或URL的形式使用内联 JavaScript javascript:,则根本无法实现这种类型的策略,因此肯定不太安全。
<script>如果您以不带 s的形式使用内联 JavaScript src,则创建在 CSP 中使用的哈希或随机数会不太方便,这可能会诱使人们根本不添加哈希值或随机数。nonce 策略还允许动态脚本,这通常是个坏主意(动态脚本 \xe2\x80\x93 的唯一用途是在 a 中插入 JSON,<script>因为它看起来与 JavaScript 兼容 \xe2\x80\x93 是 bug 的根源)和脚本注入\xc2\xb2)。
\xc2\xb9 或位于仅用于静态内容的特定域。小心允许域(包括源!)提供可以充当脚本的用户内容!
\n \xc2\xb2 由未转义<、U+2028 和 U+2029 \xe2\x80\x93 JSON\xe2\x80\x99s 3 与内联 JavaScript 不兼容引起。我建议改用典型的 HTML 转义和读取属性data-。
| 归档时间: |
|
| 查看次数: |
3993 次 |
| 最近记录: |