web-dev-qa-db-ja.com

サイトにスクリプトがないことをブラウザに伝える

私は、JavaScriptや他のタイプのクライアント側スクリプトがまったくないTor非表示のサービスサイトを作成しました。ページは、HTML、CSS、画像、およびユーザー入力を処理するためのいくつかのJSPです。

私はユーザーにNoScriptを使用することをお勧めしますが、多くの場合、ユーザーは聞きません。ページ全体に大きなメッセージを表示してスクリプトを無効にするように強制するのは煩わしいので役に立ちません。ユーザーは警告を無視します。

私のサイトにユーザーのブラウザに自分のページにスクリプトがないことを伝え、ページ上にスクリプトが見つかった場合は無視する方法はありますか?

これは、悪意のあるハッカー、または私のサイトでユーザーのIPを特定しようとする調査員によるXSSに対する追加の予防策として行っています。

編集:明確にするために、私はウェブサイトにブラウザにこれを実行するように伝えたいのですが、各訪問者にブラウザの設定方法を教える必要はありません。通常、ユーザーは馬鹿で怠惰です。

70
k1308517

コンテンツセキュリティポリシー を強化することをお勧めします。ブラウザがロード/実行するリソースを微調整することができ、 ほとんどのブラウザ でサポートされています。

次のヘッダーを検討してください。

Content-Security-Policy: default-src 'none'; img-src 'self'; style-src 'self';

これは、スクリプト、フレーム、接続、その他のオブジェクト/メディアを無効にするようブラウザに指示します。次に、画像とスタイルシートの読み込みを許可しますが、同じドメインからのみです。

136
grc