如何检查网站是否安全加载
我想知道是否有办法检查JavaScript是否完全安全地加载了网站,并且未在用户的网站上修改(例如恶意插件)
我发现这些恶意插件通常会通过添加广告或其他恶意脚本来破坏SSL,因此我想知道如何检测此图像上显示的混合内容警告:
(图片取自https://www.ssl2buy.com/wiki/fix-mixed-content-nonsecure-items-error-on-ssl-secure-site)
我发现了以下问题,但我认为这些问题并未完全回答我的问题:
- How can I use JavaScript on the client side to detect if the page was encrypted?
- How do I determine whether a page is secure via JavaScript?
我的问题是如何检测网站是否被不安全地加载(或在用户端修改),即使使用的协议是https://
旁注:我知道这样的脚本可以通过添加恶意脚本/广告/等的插件轻松删除,但我更喜欢有额外的安全层。
1 个答案:
答案 0 :(得分:1)
我想知道有什么方法可以检查JavaScript 网站完全安全加载
假设恶意插件能够操纵你的DOM内容,我相信你不能。
但是,您可以检查该网页是否已加载完全加密。
这样做的一种方法是检查A)当前URL和B)DOM中所有href和src属性的协议。 但这无法证明您的网页已完全安全加载。它可能只会确认您网站上所有已加载的内容都已加密,但攻击者可以(实际上)获得TLS / SSL证书(例如,使用letsencrypt)并使用HTTPS简单地分发其恶意代码。 此外,您必须检查您的DOM以查找可能还能执行恶意代码的iFrame。
你可以做的唯一可能解决问题的方法是检查所有hrefs& src如上所述,另外将它们与白名单进行比较。
最后,正如您已经提到的,恶意插件可以轻松阻止您的脚本。因此,我不相信这样的剧本值得花时间。
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?