Spørsmål:
Fortell nettleseren nettstedet mitt har ingen skript
k1308517
2016-06-03 16:22:10 UTC
view on stackexchange narkive permalink

Jeg har opprettet et Tor-skjult tjenesteside som absolutt ikke har JavaScript eller andre typer klientsideskript. Siden er HTML, CSS, bilder og litt JSP for å håndtere brukerinndata.

Jeg oppfordrer brukere til å bruke NoScript, men mange ganger ikke brukere lytter. Å legge en stor melding over siden for å tvinge dem til å deaktivere skript er for irriterende til å være nyttig, og brukere ignorerer advarsler.

Er det en måte jeg kan få nettstedet mitt til å fortelle brukerens nettleser at siden min ikke har noen skript? , og hvis den finner noen på siden, så for å ignorere dem?

Jeg gjør dette som en ekstra forholdsregel mot XSS som kan være fra ondsinnede hackere, eller fra etterforskere som prøver å identifisere IP-er til brukere på nettstedet mitt. .

EDIT: Bare for å gjøre det klart at jeg vil at nettstedet skal be nettleseren om å gjøre dette, jeg vil ikke måtte fortelle hver besøkende hvordan de skal konfigurere nettleseren sin. Brukerne er vanligvis dumme og late.

du kan bruke striptags-funksjonen fra PHP.brukere kan ikke legge inn HTML-koder, inkludert skriptet.XSS er bare mulig når du har desanitert brukerinngang, så du må desinfisere inngangen for å forhindre xss.
@Bomskie vet jeg, men som en ekstra beskyttelse.
Egentlig ikke noe svar, men du kan legge til munnmeldinger (eller til og med deaktivere siden) ved hjelp av ... vent på det ... skript!Så hvis de har ignorert rådene dine om å deaktivere skript, vil de bli irritert / deaktivert.Men hvis de har deaktivert skript som du har bedt om, vil de ikke se annet enn nettstedet / tjenesten din.
@loneboat, "* ... er for irriterende til å være nyttig. *"
Enkel.Hvis noen har fått skript, må du ha JavaScript som vil henvise dem til et annet sted.
Er dette 2016?"alt" trenger JS;XSS er rett og slett dårlig programmering og kan unngås en kilometer ...
@Kyslik - Tor skjulte tjenesteleverandører anbefaler at du deaktiverer javascript hovedsakelig på grunn av ting som [dette] (http://boingboing.net/2013/08/04/anonymous-web-host-shut-down.html).Så vidt jeg vet er javascript like sannsynlig usikkert i dag i 2016 som det var i 2013.
@loneboat Men i tilfelle et vellykket XSS-angrep kan det ondsinnede skriptet deaktivere meldingen.Så nettstedet vil narre etter brukere når alt er ok og ikke når de er i fare.
@kapep: Heh, det er et godt poeng.
Nag-meldinger ved hjelp av skript ville teknisk sett fungere.Med unntak av at det ville drive bort noen prosentandel av de besøkende, og de som ble kjørt bort, kan spre nyhetene og knuse nye besøkende på internett.Avhengig av hvor verdifullt innholdet ditt er, kan det være for avskrekkende, eller det kan være OK.Jeg vil imidlertid fraråde dette, gitt de andre detaljene du har delt.
En svar:
grc
2016-06-03 17:11:46 UTC
view on stackexchange narkive permalink

Et godt alternativ er å herde retningslinjene for innholdssikkerhet. Den lar deg finjustere hvilke ressurser nettleseren vil laste inn / kjøre, og støttes av de fleste nettlesere.

Vurder følgende overskrift: 

  Content-Security-Policy: default-src 'none'; img-src 'selv'; style-src 'self';

Dette ber nettleseren om å deaktivere skript, rammer, tilkoblinger og andre objekter / medier. Vi tillater deretter å laste inn bilder og stilark, men bare fra samme domene.

Selvfølgelig, hvis det er noen mann i midten eller nettleser-plugin som ønsker å injisere skript, kan det ganske enkelt slette CSP-overskriften siden overskriften er per svar og ikke per nettsted.
@SteffenUllrich hvis angriperen har nok kontroll til å endre topptekstene, føler jeg at de allerede er utenfor XSS.
Jeg er ikke sikker, men jeg tror dette vil blokkere innebygde skrifttyper.Det er kanskje ikke ment.
@PatrickM kan du stille inn 'font-src' etter behov.
@grc Ya.Jeg var ikke uenig i svaret ditt.Jeg mente det mer som en advarsel til originalplakaten om at han kanskje også trenger å tillate skrifttyper.
@SteffenUllrich Så hva du sier er at det ville være fint om en lignende konfigurasjon var mulig gjennom DNS-poster, eller noe i den retning?
@Oliphaunt: nei, jeg sier ikke det.Jeg påpekte bare at CSP-overskrift gir en sidepolicy og ikke en nettstedspolicy, dvs. i strid med HSTS.Og dermed kan det være lettere å deaktivere, avhengig av hvilke modifikasjoner angriperen kan gjøre på siden.
Praktisk talt alle teknikker for å redusere XSS, XSRF osv. Antar at angriperen * ikke * kan endre siden som sendes fra server til bruker, fordi så å si alle slike avbøtninger mislykkes i så fall.Når du snakker om mann-i-midten-angrep, tar ikke XSS, XSRF osv. Med i den samtalen - og som du med rette påpeker, på det tidspunktet blir ting som HSTS relevante i stedet.Det betyr ikke at du ikke prøver å redusere XSS og XSRF også, men det eksisterer på et annet lag med angripertilgang der det ennå ikke er noen mulighet for mann-i-midten.
@PatrickM OP nevnte at han opprettet en Tor-skjult tjeneste.Tor nettleser blokkerer allerede skrifttyper, og bruker bare medfølgende skrifttyper for gjengivelse av tekst.


Denne spørsmålet ble automatisk oversatt fra engelsk.Det opprinnelige innholdet er tilgjengelig på stackexchange, som vi takker for cc by-sa 3.0-lisensen den distribueres under.
Loading...