【发布时间】:2019-01-17 05:24:59
【问题描述】:
假设有一个 Web 服务器在某些路径下托管任意用户控制的内容——公共 IPFS 网关就是让我想到这个的例子。该服务器是否有可能阻止它所服务的页面在客户端上安装 Service Worker(从而欺骗非用户控制路径的内容)?
【问题讨论】:
标签: service-worker ipfs websecurity
假设有一个 Web 服务器在某些路径下托管任意用户控制的内容——公共 IPFS 网关就是让我想到这个的例子。该服务器是否有可能阻止它所服务的页面在客户端上安装 Service Worker(从而欺骗非用户控制路径的内容)?
【问题讨论】:
标签: service-worker ipfs websecurity
有一些有用的信息in the service worker specification:
获取服务工作者脚本资源的 HTTP 请求将 包括以下标题:
Service-Worker表示这个请求是一个 service worker 的脚本 资源请求。注意:此标头可帮助管理员记录请求并检测 威胁。
如果您想确保您的 Web 服务器不允许任何 Service Worker 注册,一种方法是检查传入请求中的 Service-Worker 标头并让您的 Web 服务器返回适当的 HTTP 错误响应(任何4xx 或5xx 都可以工作——也许403 或412?)只要你检测到。
【讨论】: