Content Security Policy, для зла
Есть такой специальный хедер для безопасности вебсайтов CSP. CSP ограничивает загрузку каких либо ресурсов если они не были пре-одобрены в хедере, то есть отличная защита от XSS. Атакующий не сможет загрузить сторонний скрипт, inline-скрипты тоже отключены… На уровне браузера вы можете разрешить только конкретные урлы для загрузки, а другие будут запрещены. Помимо пользы этот механизм может принести и вред — ведь факт блокировки и есть детекция! Осталось только придумать как ее применить.Читать дальше →
