内联Javascript与外部Javascript-其中一个比另一个更安全吗?
这是一个多年来我时常想知道的问题,但从未真正费心去寻找一个明确的答案 我们知道可以通过控制台操作内联脚本和外部脚本,但是一个脚本比另一个脚本有什么小的安全优势吗内联Javascript与外部Javascript-其中一个比另一个更安全吗?,javascript,Javascript,这是一个多年来我时常想知道的问题,但从未真正费心去寻找一个明确的答案 我们知道可以通过控制台操作内联脚本和外部脚本,但是一个脚本比另一个脚本有什么小的安全优势吗 操纵其中一个是否有点困难,还是它们都同样容易受到攻击?内联JavaScript可能存在的问题 内联JavaScript的主要缺点是潜在的。本质上,受信任的网站可以无意中呈现可执行任意数量恶意行为的代码(在本例中为JavaScript)。可以找到一个内联JavaScript安全问题的简单示例 内容安全策略 当JavaScript外部化时
操纵其中一个是否有点困难,还是它们都同样容易受到攻击?内联JavaScript可能存在的问题 内联JavaScript的主要缺点是潜在的。本质上,受信任的网站可以无意中呈现可执行任意数量恶意行为的代码(在本例中为JavaScript)。可以找到一个内联JavaScript安全问题的简单示例
内容安全策略 当JavaScript外部化时,您可以建立一个
内容安全策略
,该策略信任从您的网站(以及其他需要的网站)加载的外部JavaScript,并阻止所有内联JavaScript执行。本质上,您正在确定所有外部加载的资源都是安全的,如果碰巧有任何JavaScript尝试内联执行,那么就阻止尝试
附加步骤 然而,应注意的是,应建立保障措施,作为“清洁”输入和输出文本的第一道防线。应假定任何用户输入(传入或传出)都可能是恶意的。相应地计划 以下链接提供了更多信息: