Sulla rete aziendale di un cliente qualcosa sta eliminando tutti gli elementi di <script>
che contengono codice, ad esempio cose come <script type="text/javascript">do_something();</script>
saranno semplicemente rimosse dalla risposta del server prima che raggiunga il browser. SSL non aiuta (e, naturalmente, il certificato appare danneggiato anche se è perfettamente valido).
D'altro canto, gli elementi HTML come <script src="/something.js"></script>
non vengono rimossi e vengono eseguiti nel browser bene.
La mia domanda:
C'è qualche vantaggio in termini di sicurezza derivante da tale rimozione?
Certamente non riesco a vederne uno ... XSS mi viene in mente, ma se qualcuno sta per fare un attacco XSS, probabilmente proverà la variante con src
, no?
E una domanda a parte: quale software potrebbero usare? O meglio ancora, cosa posso usare per emulare quella situazione sul mio Mac o PC dove avviene lo sviluppo?