Bonjour
Comment empecher exécution des widget javascript depuis la barre d'outils navigateur pour mon site s'il vous plait ?
du genreMerci
Code : Sélectionner tout - Visualiser dans une fenêtre à part javascript:void((function(){..........})())
Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Discussion :
Empêcher l'exécution de widget javascript dans barre d'outils du navigateur
Bonjour
Comment empecher exécution des widget javascript depuis la barre d'outils navigateur pour mon site s'il vous plait ?
du genreMerci
Code : Sélectionner tout - Visualiser dans une fenêtre à part javascript:void((function(){..........})())
Ce genre de code s’appelle un bookmarklet. C’est une méthode des années 90-2000, normalement les navigateurs actuels la bloquent pour protéger les gens contre les piratages de type ingénierie sociale (du genre « copie ce code et tu pourras hacker le compte Facebook de tes amis ! »).
Pour faire une réponse courte : tu n’as rien à faire
Cependant, il faut que tu saches qu’il n’y a aucun moyen sûr d’empêcher une personne d’exécuter du code JS arbitraire sur ton site. Il suffit d’ouvrir la console en appuyant sur F12. Dans les cas les plus complexes, un attaquant aura recours à une extension de navigateur, voire même un navigateur modifié, pour arriver à ses fins.
En réalité, tu n’as aucun contrôle sur ce qui se passe côté client. Si tu as des données à protéger, cette protection doit se faire côté serveur. Si ton souci est de garantir la propriété intellectuelle d’une œuvre (image, audio, video), le plus simple est de publier une version en qualité limitée.
La FAQ JavaScript – Les cours JavaScript
Touche F12 = la console → l’outil indispensable pour développer en JavaScript !
Salut,
Je n'ai pas compris on peut coté client exécuter du code JS arbitraire sur un site ? Ou bien tu veux dire sur la page du site chargée dans le navigateur ?
J'ai vu que certains sites bloquaient le copier/coller mais comme dit Watilin on peut toujours accéder au contenu de la page via la console...
Sinon pour infos j'utilise parfois ce genre de code pour changer les couleurs de la page et j'ai remarqué que cela ne fonctionnait pas sur certains sites (github par exemple) mais c'est avec FF pas chrome...
Github sert ses pages avec un en-tête Content Security Policy (CSP) et déclare default-src 'none'. Cela interdit, entre autres, les <script> inline (qui ne sont pas dans un fichier séparé) et les « liens » en javascript:. Voir l’option 'unsafe-inline' sur la page de doc de default-src.Envoyé par Beginner.
Ça peut être effectivement une piste à explorer. Mais la puissance de CSP n’est pas sans contraintes : elle fonctionne comme une liste blanche, par défaut tout est bloqué, et il faut préciser explicitement tout ce qu’on veut autoriser. On peut trouver ça fastidieux, il n’y a qu’à voir la taille des en-têtes CSP de Github pour se faire une idée.
La FAQ JavaScript – Les cours JavaScript
Touche F12 = la console → l’outil indispensable pour développer en JavaScript !
Ah ben tout s'explique, merci Watilin !
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager