我可以禁止外部可执行内容(外部javascript)吗？

Question

我正在编写一个javascript程序，用于客户端解密。代码是从受信任的源中检索的，但是它使用了gui工具包(语义ui)。我已经打包了语义ui，但是它仍然从google (字体)加载一些外部内容。我想确保没有第三方能够注入代码和干扰客户端解密(窃取密码)。禁止所有不来自源域的可执行内容是可以拥有的吗？

Answer 1

完全有可能将可执行内容(或任何内容)限制在来自您的域的内容上。您可能希望使用内容安全策略，也可能使用类似于script-src 'self'; font-src 'fonts.google.com'的东西。您还应该使用https使攻击者更难篡改/伪造脚本。