目录
目前看到点评、美团站点的 js 都本地化或者使用 s3,但是总归有些需要使用在线应用这种方式,如何去防止 js 劫持等呢?
背景:
第三方 js 主要是分享、广告、站长分析、功能(jQuery),需要考量隐私、安全风险和第三方 js 可能的可用性问题。
解决办法:
https 是防篡改必须;
消减影响措施为:通过将 js 放入 iframes;采用 csp 策略防止 xss;在主站通过脚本防止第三方 js 的 document.write 注入 dom 元素实现。
目录
目前看到点评、美团站点的 js 都本地化或者使用 s3,但是总归有些需要使用在线应用这种方式,如何去防止 js 劫持等呢?
第三方 js 主要是分享、广告、站长分析、功能(jQuery),需要考量隐私、安全风险和第三方 js 可能的可用性问题。
https 是防篡改必须;
消减影响措施为:通过将 js 放入 iframes;采用 csp 策略防止 xss;在主站通过脚本防止第三方 js 的 document.write 注入 dom 元素实现。
安全永远都不是一个小问题。
欢迎来到这里!
我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。
注册 关于