Браузеры позволяют расширениям вводить код, манипулировать DOM и т.д.
На протяжении многих лет я замечал множество и непонятные ошибки (используя window.onerror) на веб-сайте (приложении), который я просматриваю, созданный неизвестными расширениями браузера Firefox, Chrome и Internet Explorer (все версии).
Эти ошибки, похоже, не прерывали ничего. Теперь я хочу повысить безопасность этого веб-сайта, потому что он начнет обрабатывать кредитные карты. Я видел своими глазами вредоносное ПО/шпионское ПО, заражающее браузеры с измененными расширениями браузера (невинное расширение браузера, модифицированное, чтобы сообщать злоумышленникам / script kiddies), работающие в качестве кейлоггеров (с использованием тривиальных обработчиков событий onkey * или просто проверок ввода.значения).
Есть ли способ (метатег и т.д.), чтобы сообщить браузеру о запрете ввода кода или чтении DOM, стандартного или нестандартного? Веб-страница уже является SSL, но это не означает, t, похоже, имеет значение (как в подсказке браузеру активировать более строгую защиту для расширений).
.
Возможные обходные пути (вид растяжки против простого метатега), предложенный другими или с верхней части головы:
- Виртуальная клавиатура для ввода чисел + не текстовые входы (aka img для цифр)
- удаленный рабочий стол с использованием Flash (кто-то предложил HTML5, но это не решит расширение браузера при прослушивании на клавиатуре, только Flash, Java и т.д.).
- Очень сложная защита на основе Javascript (удаляет небелые зарегистрированные события событий, входные значения в памяти вместе с входами, защищенными действительными символами звездочки и т.д.) (это невозможно, если оно уже не существует)
- Расширение браузера с ролью антивируса или которое может каким-то образом защитить определенную веб-страницу (это невозможно, возможно, даже невозможно без создания огромного множества проблем)
Изменить. Google Chrome отключает расширения в режиме инкогнито, однако нет стандартного способа обнаружения или автоматического включения режима инкогнито, поэтому необходимо отображать постоянное предупреждение.