保护来自相同来源服务器的HTML内容

Question

这不是一个普遍的问题，但是我想知道是否存在任何技巧或即将出现的标准。

以下是流程以及我要实现的内容。

1. 从服务器端加载的Web应用程序
2. 客户端脚本加载一些安全的内容（不是来自＃1的内容），这些内容需要受到Web应用程序提供商的保护。可以直观地向用户显示。
3. Web应用程序提供商知道安全内容（在Dom路径中）在哪里，并且可能会尝试通过放置脚本来捕获它
4. 但是，不应从服务器（甚至是同一来源）或外部应用程序（如果可能的话，甚至是开发人员工具）中劫持安全内容

编辑：

为了更好地理解，它适用于Web应用程序不在用户数据库中保存用户数据但从其他位置加载数据的用例。以防万一，我需要保护数据免受Web应用程序的侵害，这在常规Web应用程序中并不常见。

Answer 1

您应该使用内容安全策略（CSP），该策略可使浏览器拒绝注入攻击。要正确设置这些设置可能会有些棘手，因此我将使用Report URI来帮助您进行设置。诀窍是先使用“仅报告”模式，直到您验证了设置，然后再执行。