Qual è l'impatto sulla sicurezza della rimozione dei tag script in un sito Web durante il caricamento della pagina? [chiuso]

2

Ho scoperto di recente che in chrome, se scrivi gli script in <script> tag e nella parte superiore o inferiore del tag dello script, hai qualcosa da eliminare, il codice (setInterval, setTimeout, è il solo quelli testati) permarranno e continueranno a funzionare anche dopo che il tag è scomparso. Tutto il codice nel tag di script fa viene eseguito. Ad esempio:

<div id="reload">Loading...</div>
<script id="removeme">
$("#removeme").remove();
setInterval(function(){$("#reload").load("random_number_gen.php");}, 1000);
</script>

In questo esempio, lo script viene rimosso non appena lo script inizia l'analisi del codice, quindi viene impostato un intervallo, per un generatore di numeri casuali lato server, che restituisce costantemente un numero diverso nel div. Continuerà a cambiare ogni secondo all'infinito, ma il tag dello script è sparito.

Sul punto: questo ha qualche pro o contro? Lo fa in modo sicuro il tuo codice javascript in alcun modo? Ovviamente javascript può essere disabilitato e quindi l'utente può vedere il codice, ma posso pensare a come aggirarlo.

TL; DR: La rimozione di un tag script causa problemi? Ha qualche svantaggio o vantaggio?

Motivo per cui ti chiedo: ci sto pensando e ho pensato di chiederlo perché sto lavorando a un progetto con qualcuno che è anonimo riguardo alla sicurezza e qualcosa che hanno fatto era in cima a ogni tag di script, avere un jquery dichiarazione per rimuovere lo script (per ID o altro). Inoltre non usano mai file .js

    
posta Not_Lazy 25.04.2017 - 10:40
fonte

1 risposta

0

Non vedo alcun vantaggio nel farlo.

Non nasconde il tuo codice sorgente. Viene comunque inviato al client e può essere facilmente letto. Inoltre, la sicurezza della tua app non dovrebbe basarsi sul fatto che il codice sorgente è segreto.

Non riesco a vedere come avrebbe alcun impatto su XSS, che è l'exploit a cui sembra più correlato. XSS riguarda l'inserimento di nuovi script, non l'utilizzo di quelli vecchi.

Ma chi lo sa. Potrebbe esserci un caso d'angolo là fuori dove questo ti salverà. Solo perché non riesco a immaginarlo, non significa che non esista. Ma a meno che tu non abbia una chiara idea su cosa stai difendendo con questo, non lo farei. Aggiunge complessità senza offrire alcun vantaggio chiaro.

    
risposta data 25.04.2017 - 12:52
fonte

Leggi altre domande sui tag