有没有办法阻止(特定的)恶意脚本在我自己的网页上运行
is there a way to block (specific) malicious scripts from running on my own webpage?
问题是在用户端运行的一些插件(或其他第三方)会影响我的网站;更改脚本、替换某些元素或以某种方式损害用户体验。
我想做的是阻止特定的js文件(来自我熟悉的其他服务器)被加载,或者只允许我的脚本文件加载到我的网站上。
我知道我可以在加载后从dom中删除特定的脚本标记,但这并不能解决问题,因为代码会留在内存中并运行。
有没有一种方法可以对页面进行初始编码?
通过重写作用域的"appendChild"函数,但将其保存到不同的函数名称,解决了这个问题。
在重写的"appendChild"函数中,我添加了一些条件,以确保没有具有特定阻止源(来自数组列表)的脚本会执行原始的"appentChild"功能。
希望这能清除它。
var blockedUrlsArr = [
'someUrl/malicious1.js',
'someUrl/malicious2.js',
'someUrl/malicious3.js'
];
function checkBlockedUrls(url) {
var result = false;
for (var i = 0; i < blockedUrlsArr.length; i++) {
if (url.indexOf(blockedUrlsArr[i]) !== -1) {
result = true;
break;
}
}
return result;
}
var originalAppendChild = Element.prototype.appendChild;
Element.prototype.appendChild = function () {
if (arguments[0].tagName.toLowerCase() === 'script') {
if (!checkBlockedUrls(arguments[0].src)) originalAppendChild.apply(this, arguments);
}
else originalAppendChild.apply(this, arguments);
};
相关文章:
- 当包含另一个asp文件时,是否也包含所有引用的样式和脚本页面
- 借助asp.net验证或java脚本对多个文本进行验证
- chrome扩展:尽管运行了at:documentidle,js脚本还是过早启动
- Java脚本时间添加
- 不显示带有本地json文件数据的谷歌地图脚本
- JQuery添加元素需要在我的js之前再次添加JQuery脚本
- 从远程脚本获取用户IP
- 如何根据时间运行不同的脚本
- 如何将字符串值从php页面发送到java脚本页面
- 使用谷歌应用程序脚本将服务器端数据表返回到客户端
- 可以设置“;文件名"发生错误时显示的内联脚本标记的
- 当脚本由system.js加载时,如何要求('electron')
- HTML标记在脚本标记中工作
- 是否可以控制获取哪些Google地图脚本(JavaScript API)
- 使用谷歌应用程序脚本从工作表中获取值并将其显示在文本框中
- Wordpress中的恶意脚本
- 有没有办法阻止(特定的)恶意脚本在我自己的网页上运行
- 了解跨域.xml和恶意脚本
- 这个脚本有什么作用?是恶意的
- 关于删除恶意软件脚本
