gpt4 book ai didi

javascript - 一种阻止脚本标记内的任何 HTTP 请求的方法?

转载 作者:行者123 更新时间:2023-12-03 02:08:17 25 4
gpt4 key购买 nike

有什么方法可以完全阻止在 HTML 中的某个脚本标记内执行任何 HTTP 请求吗?我拥有一个网站,用户可以在其中设置自己的“bio”,并且它允许 HTML 和 JavaScript。它给我的网站带来了安全问题,因为管理员可以访问该网站并使用管理员发送删除网站上其他资源的请求。我想完全停止此特定脚本标记内的所有请求,以便它无法将请求发送到其他站点或当前站点。我研究过 CSP(内容安全策略),但找不到我要找的东西。有谁知道有什么办法吗?

最佳答案

有点像,但不是真的。从技术上讲,您可以覆盖所有允许在 JavaScript 中发出 HTTP 请求的方法(fetch()XMLHttpRequest 等),但这很容易被规避。

黄金法则是永远不要信任客户。你应该想出一种方法来处理这个服务器端。锁定这些可能在服务器级别触发删除和其他操作的端点,这样他们就无法进行这些更改。

即使您没有包含 bio 部分,我也可以轻松地使用开发人员工具将 HTML 和新脚本注入(inject)到页面中,并将 HTTP 请求作为您的页面发送。如果在服务器级别没有什么可以阻止我,那会导致严重的问题。

关于javascript - 一种阻止脚本标记内的任何 HTTP 请求的方法?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/49693299/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com