|
|
1
1
只要没有旁道攻击,攻击者就只能读取脚本可以访问的范围内的变量。 您可以创建只可用于类/对象的变量,例如 WeakMap :
但是如果您使用AJAX请求该令牌,那么问题就不是保护变量,而是保护请求,这样恶意脚本就无法拦截该请求。
它们可以覆盖与使用ajax发送或获取数据相关的所有函数。并获取关键数据。 打包脚本可能会有更大的问题,因为根据它们的配置,它们允许以后加载某些脚本,并且这些脚本可能会被滥用。
首先,您应该使用例如。
Content Security Policy
,以便只允许从特定域加载脚本。重新启动
|