Ciò significa che hai bisogno di un modo per accedere al codice Javascript dopo che è stato scaricato ma prima che fosse eseguito.
A seconda del browser web, potrebbe esistere un modo specifico per browser per creare un'estensione o un plug-in in grado di accedere al contenuto del sito Web prima che il motore di rendering funzioni. Fare riferimento alle documentazioni pertinenti sul browser Web per i dettagli.
Una soluzione molto più indipendente dal browser sarebbe quella di creare un server proxy locale e configurare tutti i browser Web per utilizzare quel server proxy per accedere a Internet. Quel proxy potrebbe facilmente esaminare tutti i file html e javascript per il codice dannoso prima di inoltrarli al client. Esistono già soluzioni che funzionano in questo modo, gratuito o commerciale .
Un problema con questa soluzione è che per un proxy è impossibile scansionare qualsiasi contenuto trasferito tramite HTTPS. Con TLS, il contenuto è crittografato tra browser e server e il proxy non ha modo di decrittografarlo. Ma c'è anche una soluzione per questo: SSLStrip è un esempio per un server proxy che gestisce l'en- e decrittografia TLS stessa. Quindi ricodifica la connessione tra sé e il browser utilizzando un nuovo certificato firmato da solo. Ciò, ovviamente, richiede che il certificato di root dei server proxy venga aggiunto manualmente all'elenco delle autorità di certificazione attendibili dei browser.
Sebbene lo spoofing del certificato TLS possa essere usato maliziosamente, questo metodo non è raro negli ambienti aziendali essere in grado di filtrare il web da contenuti che potrebbero essere malware o distogliere dipendenti dal loro lavoro in altri modi (giochi, porno, ecc.).