web-dev-qa-db-fra.com

Dire au navigateur que mon site n'a pas de scripts

J'ai créé un site de service caché Tor qui n'a absolument aucun JavaScript ou d'autres types de scripts côté client. La page est HTML, CSS, images et certains JSP pour gérer les entrées utilisateur.

J'encourage les utilisateurs à utiliser NoScript, mais souvent, les utilisateurs n'écoutent pas. Mettre un gros message sur la page les forçant à désactiver les scripts est trop ennuyeux pour être utile, et les utilisateurs ignorent les avertissements.

Existe-t-il un moyen de faire dire à mon site au navigateur de l'utilisateur que ma page n'a pas de scripts, et s'il en trouve sur la page, alors de les ignorer?

Je fais cela comme une précaution supplémentaire contre XSS qui pourrait provenir de pirates malveillants ou d'enquêteurs tentant d'identifier les adresses IP des utilisateurs de mon site.

EDIT: Juste pour être clair, je veux que le site Web indique au navigateur de le faire, je ne veux pas avoir à dire à chaque visiteur comment configurer son navigateur. Les utilisateurs sont généralement muets et paresseux.

70
k1308517

Une bonne option est de durcir votre Politique de sécurité du conten . Il vous permet d'affiner les ressources que le navigateur chargera/exécutera et est pris en charge par la plupart des navigateurs .

Considérez l'en-tête suivant:

Content-Security-Policy: default-src 'none'; img-src 'self'; style-src 'self';

Cela indique au navigateur de désactiver les scripts, les cadres, les connexions et tout autre objet/média. Nous autorisons ensuite le chargement des images et des feuilles de style, mais uniquement à partir du même domaine.

136
grc