2017-05-02 135 views
0

我正在處理客戶端解密的JavaScript程序。代碼是從可信來源檢索的,但它使用了gui工具包(語義ui)。我已經打包了語義UI,但是它的語義仍然會從谷歌(字體)加載一些外部內容。我想確保沒有第三方能夠注入代碼並干擾客戶端解密(竊取密碼)。是否可以禁止不是來自源域的所有可執行內容?我可以禁止外部可執行文件內容(外部javascript)嗎?

+0

當你說「一個JavaScript程序」,你的意思是一個Web應用程序?一個'node.js'應用程序?其他一些框架? –

+0

一個網絡應用程序。 – timthelion

回答

1

完全可以將可執行內容(或任何內容)限制爲源自您的域的內容。你會想要使用Content Security Policy,你可以使用類似script-src 'self'; font-src 'fonts.google.com'的東西。您還應該使用https以使攻擊者更難以篡改/欺騙腳本。

+0

這似乎*幾乎*正是我想要的。它似乎阻止了甚至無害的內容,比如圖像,但是這可以解決。謝謝! – timthelion

相關問題