Ogni volta che un utente seleziona o evidenzia il testo su una pagina Web, viene generato un evento OnClick() . Alcuni dei modelli di sicurezza del browser Web dipendono dall'interazione esplicita dell'utente finale, come OnClick() , prima che venga aperta una nuova scheda o scaricato il software.
Detto questo, è un rischio evidenziare il testo durante la lettura di una pagina Web?
Cosa si può fare per mitigare questo rischio?
È difficile dire che qualsiasi cosa non sia un rischio se il javascript è attivo. Per quanto ne so, non c'è un buon modo per dire dove possa esistere un exploit. Detto questo, se sei davvero preoccupato di evidenziare il testo su una pagina senza rischi, i miei consigli sarebbero: a) disattivare gli script in modo che gli eventi onclick non si verifichino, b) visualizzare l'origine e copiare il testo direttamente dall'origine oppure c) se il testo non è disponibile nella fonte, usa uno strumento come firebug che può ispezionare il DOM e tirare il testo direttamente dal DOM.
In generale no-script su un sito di cui non ti fidi è solo una buona sicurezza, anche se ci sono stati degli exploit che non richiedono nemmeno l'interazione diretta con la pagina oltre il semplice caricamento.
That being said, is it a risk to highlight text while reading a webpage?
Non c'è alcun rischio a meno che il browser non abbia un exploit che tratta quando il testo è evidenziato.
What can be done to mitigate this risk?
Ogni browser che vale la pena utilizzare non avrebbe exploit.
Non affronterò nemmeno le preoccupazioni sollevate da AJ che si occupano di JavaScript principalmente perché quel rischio è unico per un determinato motore del browser.
Leggi altre domande sui tag javascript web-browser