cloudflare workers 传入网页时注入脚本的话,是不是服务端设置 CSP 也没办法保证完整性?

262 天前
 raw0xff

域名 DNS 都在 cloudflare 内管理,worker.js 可以在获取服务端内容后修改然后再发给客户端,那岂不是可以轻易绕过 CSP ?作为服务端网页如何保证自己完整性?

2103 次点击
所在节点    JavaScript
25 条回复
raw0xff
261 天前
@0o0O0o0O0o 好像真的无解,即便关键代码写成 wasm 也没啥用。
raw0xff
253 天前
@caomingjun 对不起,你是对的,标头可以修改,但是返回给浏览器前 cloudflare 会重新改回来。所以网站是否用了 worker 是可以从响应头分辨的。
forty
211 天前
很简单,把验证信息放入另一个不经过 cloudflare 的域名站点。
主体内容走 cf, 验证信息走另外通道。
raw0xff
203 天前
@0o0O0o0O0o 大佬方便飞机向您求教吗?

我的 rsa 公钥

-----BEGIN RSA PUBLIC KEY-----
MIGJAoGBALJxVGJhfs6tY1kKUl9y4k/5qXoYTn+/mS8keK9CmzvyPJ63hF7HHG37
ZaLCNZIWrUf2dwtepuXVf40H+SAsRMDMy4/BRlovlqSIClGudAuCVVOxelNoQ3Sc
nKiyPjPmlbkBJVL1JclXq17g8p5SlBmGeePCM7/75J8uTuarboxDAgMBAAE=
-----END RSA PUBLIC KEY-----

https://try8.cn/tool/cipher/rsa
0o0O0o0O0o
202 天前

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1030412

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX