Segnala al browser che il mio sito non ha script

69

Ho creato un sito di servizi nascosti Tor che non ha assolutamente JavaScript o altri tipi di script lato client. La pagina è HTML, CSS, immagini e alcuni JSP per la gestione dell'input dell'utente.

Invito gli utenti a utilizzare NoScript, tuttavia molte volte gli utenti non ascoltano. Mettere un grosso messaggio attraverso la pagina costringendoli a disabilitare gli script è troppo fastidioso per essere utile, e gli utenti ignorano gli avvisi.

C'è un modo per far sì che il mio sito comunichi al browser dell'utente che la mia pagina non ha script e se ne trova nella pagina per ignorarli?

Lo sto facendo come ulteriore precauzione contro XSS che potrebbe provenire da hacker malintenzionati o da investigatori che tentano di identificare gli IP degli utenti sul mio sito.

EDIT: Giusto per chiarire, voglio che il sito web dica al browser di farlo, non voglio dover dire a ogni visitatore come configurare il proprio browser. Gli utenti sono muti e pigri di solito.

    
posta k1308517 03.06.2016 - 13:22
fonte

1 risposta

136

Una buona opzione è quella di rafforzare la Politica di sicurezza dei contenuti . Ti consente di ottimizzare le risorse caricate / eseguite dal browser ed è supportato dalla maggior parte dei browser .

Considera la seguente intestazione:

Content-Security-Policy: default-src 'none'; img-src 'self'; style-src 'self';

Questo indica al browser di disabilitare script, frame, connessioni e qualsiasi altro oggetto / supporto. Permettiamo quindi il caricamento di immagini e fogli di stile, ma solo dallo stesso dominio.

    
risposta data 03.06.2016 - 14:11
fonte

Leggi altre domande sui tag