पर जावास्क्रिप्ट निष्पादन को अक्षम करें क्या किसी विशिष्ट पृष्ठ के लिए जावास्क्रिप्ट को अक्षम करने के लिए कोई HTTP-header है? मेरी वेबसाइट उपयोगकर्ता द्वारा जेनरेट की गई HTML-सामग्री प्रदान करती है (यही कारण है कि मैं केवल htmlenitities का उपयोग नहीं कर सकता) और मैं स्क्रिप्टिंग (जावास्क्रिप्ट इंजेक्शन) को रोकना चाहता हूं।विशिष्ट पृष्ठों (जावास्क्रिप्ट/PHP)
मैं पहले से ही मुख्य डोमेन पर प्रमाणीकरण के लिए सेट किया जा रहा है, जबकि उपयोगकर्ता सामग्री केवल उप डोमेन पर प्रदर्शित होती है जहां कुकी को पढ़ा नहीं जा सकता है। समस्या यह है कि जावास्क्रिप्ट को निष्पादित करने के लिए अभी भी कई संभावनाएं हैं - उदाहरण के लिए onclick जैसे ईवेंट विशेषताओं का उपयोग करना और इंटरनेट एक्सप्लोरर के पास जावास्क्रिप्ट निष्पादन (expression) की अनुमति देने के लिए सीएसएस में भी एक संपत्ति है, जिसे मैंने पहले कभी नहीं सुना था। मैंने एक और दिलचस्प विचार पढ़ा है, कोड को अवरुद्ध करने के लिए अपवाद फेंकने के बारे में था। एक और विचार सभी अनुमत टैग वाले एक सूची को परिभाषित करेगा और इसके अतिरिक्त प्रत्येक अनुमत विशेषता नाम के साथ एक सरणी होगी लेकिन यह बहुत कठिन काम है और मुझे लगता है कि यह सभी संभावित इंजेक्शन को कवर नहीं करेगा।
मुझे लगता है कि मैं इस समस्या वाले एकमात्र व्यक्ति नहीं हूं, तो क्या किसी को सभी संभावित हानिकारक कोड को कवर करने की संभावना है?
X-Scripting: disabled के समान एक साधारण काल्पनिक शीर्षलेख जीवन को इतना आसान बना देगा!
क्या आपने कभी 'स्क्रिप्ट' टैग को अवरुद्ध करने और उपयोगकर्ता इनपुट में कुछ विशेषताओं को अवरुद्ध करने का विचार किया है? –
यही मेरा मतलब है: "एक और विचार सभी अनुमत टैग वाले एक सूची को परिभाषित करेगा और इसके अलावा प्रत्येक अनुमत विशेषता नाम के साथ एक सरणी होगी लेकिन यह बहुत कठिन काम है और मुझे लगता है कि यह सभी संभावित इंजेक्शन को कवर नहीं करेगा।" (इसलिए मैं उदाहरण के लिए "div" या "span" जैसे हानिरहित टैगों को अनुमति देता हूं और "ऑनक्लिक", "ऑनमूसओवर" जैसे गुण अक्षम करता हूं, लेकिन ब्राउज़र में अलग-अलग, ब्राउज़र-विशिष्ट विशेषताओं और गुणों के बाद से यह सभी इंजेक्शन को कवर नहीं करेगा) –