Welchen regulären Ausdruck sollte ich verwenden, um Runnable Snippet-Tags durch NoScript Anti-XSS Protection zuzulassen?

450
zero298

Ich führe NoScript in Firefox aus und jedes Mal, wenn ich versuche, ein lauffähiges Snippet zu verwenden, fragt mich NoScript, ob ich das mögliche Cross Site Script ausführen lassen möchte. Ich kann einen regulären Ausdruck bereitstellen, um die Benachrichtigung zu umgehen, aber ich möchte sicherstellen, dass die Benachrichtigung so zielgerichtet wie möglich ist, damit die tatsächlichen XSS-Angriffe nicht durchkommen (nicht dass Stack Exchange jemals eine davon hätte).

Ich habe es versucht:

^https?://stackexchange\.com/questions/.*$

Aber ich bekomme immer noch die Ausnahme. Soll ich stattdessen zielen http://stacksnippets.net?

Ich habe auch versucht:

^https?://stacksnippets\.net.*$

Was funktioniert, aber ist das die zielgerichteteste RegEx, die ich machen kann?

2

1 Antwort auf die Frage

2
funkwurm

Könnte ein bisschen paranoid sein, aber ich möchte hinzufügen, dass nach dem .netBuchstaben oder Punkt kein Zeichen für das erste Zeichen zulässig ist. Wenn es eine Top-Level-Domain gibt .netmaloder .net.au(wie es ist .com.au), könnte jemand gehen und sich registrieren stacksnippets.netmal/ stacksnippets.net.auund dort Malware ausführen.

So etwas wie:

^https?://stacksnippets\.net([/?].*)?$

Dies würde ein /oder ?direkt nach der Basis-URL erfordern, um sicherzustellen, dass die Domäne wirklich stacksnippets.net ist und nichts anderes.

Ja, ich mag das viel besser als das, was ich ursprünglich hatte. Dachte nicht einmal an neuere Top-Level-Domains. zero298 vor 9 Jahren 0

Verwandte Probleme