我正在寻找以下方面的帮助:
我正在建立一个链接外部脚本的网站(脚本所有者可以随时更改这些脚本(。
我想将这些脚本发送的任何网络请求作为代理通过我的后端服务器进行路由,这样我就可以解析请求和响应,以确保它们不会从我的网站中过滤数据。
这里的想法是能够利用我的数据无法100%信任的外部脚本。
为了强制执行这一点,是否可以拦截<script>
从早期加载的不同<script>
发出的web请求?
如果没有,还有什么更好的方法?
如果您不能信任脚本,这将成为一个更大的安全问题。你应该获得更多关于网络安全的信息。
这种实现的一个有趣的例子是Tampermonkey及其权限模型(类似于Android应用程序(。
根据使用情况,您可能需要手动批准每个js文件,并通过完整性检查强制执行:
https://developer.mozilla.org/en-US/docs/Web/Security/Subresource_Integrity
最终,您无法通过编程检查外部js文件的安全性。你要么信任它的作者,要么不信任。