为什么内联 JavaScript 安全性很差? [英] Why is inline JavaScript security bad?
本文介绍了为什么内联 JavaScript 安全性很差?的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
我知道内联 JS 对性能不利,但为什么对安全不利?你能解释一下为什么吗?举些例子?
I know that inline JS is bad for performance, but why is it bad for security? Can you please explain to me why? With some examples?
推荐答案
限制性 内容安全策略 可以通过禁止除具有特定哈希值的脚本之外的所有脚本¹ 来帮助减少脚本注入漏洞的影响.
A restrictive content security policy can help to reduce the impact of script injection vulnerabilities by disallowing all scripts except those with a certain hash¹.
如果您以
on*属性或javascript:网址的形式使用内联 JavaScript,则根本无法实施此类政策,因此那肯定不太安全.
If you use inline JavaScript in the form of
on*attributes orjavascript:URLs, you can’t implement this type of policy at all, so that’s definitely less safe.
如果您以 <script>s 的形式使用内联 JavaScript,而没有 src,那么创建哈希或随机数用于在一个 CSP,这可能会诱使人们根本不添加一个.nonce 策略还允许动态脚本,这通常是坏主意(几乎是动态脚本的唯一用途 - 在
