Ich habe eine Situation, in der Benutzer CSS für bestimmte Bereiche der Site definieren können, die sie pflegen. Sie können Remote-Ressourcen in dieses Dokument einfügen und anschließend IP-Anforderungen protokollieren, die von Gastbenutzern, die ihre Seiten besuchen, an diese Ressourcen gesendet werden.Können Sie die Same-Origin-Richtlinie strenger festlegen?
Ohne ein Reinigungssystem hinzuzufügen, das Remote-URLs filtert, gibt es eine Möglichkeit, den Client anweisen, keine ANY ausländische Anfragen zu machen? Meine Website ist zu 100% im Ursprung und macht keine ausländischen CDN-Anfragen. Ich will es im Grunde so, dass jede ausländische Anfrage blockiert wird.
Kein schlechter Vorschlag, aber kaum kugelsicher. Es liegt an dem Browser, dies zu erzwingen und ein entschlossener "Angreifer" könnte leicht einen [Browser verwenden, der dies nicht unterstützt] (http://caniuse.com/#feat=contentsecuritypolicy). – Michael
Nun ja, es liegt an dem Browser, um sichere Software zu sein oder nicht. Wenn ein Benutzer einen unsicheren Browser verwendet, ist dies eine Entscheidung, die er getroffen hat. Wie wichtig ist, welchen Browser ein Angreifer benutzt? – C14L
Ausgezeichnet, danke. – Josh