Есть ли способ, чтобы заморозить document.body.innerHTML в JavaScript, так что злоумышленник не смог сделать следующее:Есть ли способ заморозить document.body.innerHTML в JavaScript?
<script>document.body.innerHTML = document.body.innerHTML.replace("http://www.example.com/" , "http://abc.org"); </script>
Кроме того, как заморозить document.location? Благодаря!
Нет, вы не можете заблокировать содержимое элемента DOM из javascript. Я подозреваю, что вы задаете неправильный вопрос. Что вам, вероятно, нужно сделать, это подключить любую уязвимость, которую использует злоумышленник для запуска кода в первую очередь.
Это было бы хорошо место для начала.
Ну не с JavaScript. Это просто невозможно. Как ваш код будет более эксклюзивным, чем любой другой?
Простым решением является создание защищенной страницы, которая не подходит для XSS. Разбирайте все, что приходит извне, и ваша страница будет безопасной.
Вы также можете попытаться предотвратить загрузку вашего сайта в фреймах с заголовком X-Frame-Options. Вы можете достичь этого с помощью файла .htaccess с этим контентом:
<IfModule mod_headers.c>
# Secure frame optione
Header always append X-Frame-Options SAMEORIGIN
</IfModule>
Нет, нет возможности «заморозить» его. Вы можете предотвратить это, не включая сторонние скрипты на своей странице.
№ Код, который имеет возможность запускать на вашей странице, может что-то сделать. – Pointy
отключить javascript – timaschew
@timaschew хорошо, да, это сработает, но вы не сможете контролировать это с самой страницы. Другими словами, страница не может заставить браузер отключить JavaScript для себя. – Pointy