我正在开发一个客户端解密的javascript程序。代码是从受信任的源中检索的,但它使用gui工具包(语义ui)。我已经打包了语义ui,但是,语义仍然从谷歌(字体)加载一些外部内容。我想确保没有第三方能够注入代码并干扰客户端解密(窃取密码)。是否可以禁止所有来自源域的可执行内容?
答案 0 :(得分:1)
完全可以将可执行内容(或任何内容)限制为源自您的域的内容。您可能希望使用Content Security Policy,并且可能使用script-src 'self'; font-src 'fonts.google.com'
之类的内容。您还应该使用https
使攻击者更难以篡改/欺骗脚本。