Защита содержимого HTML от серверов того же происхождения

Question

Это не распространенный вопрос, но мне интересно, существуют ли какие-нибудь хитрости или будущие стандарты.

Ниже приведен поток и то, что я хочу реализовать.

1. Веб-приложение, загруженное со стороны сервера
2. Клиентский скрипт загружает некоторое защищенное содержимое (не из # 1), которое необходимо защитить от поставщика веб-приложений. Это может быть показано пользователю визуально.
3. Поставщик веб-приложений знает, где находится защищенное содержимое (в пути Dom), и, возможно, может попытаться его перехватить, поставив скрипт
4. Однако защищенное содержимое не должно быть взято с серверов (даже из того же источника) или из внешних приложений (даже из инструментов разработчика, если это возможно)

EDIT:

Для лучшего понимания, это тот случай, когда веб-приложение не хранит пользовательские данные в своей БД, а загружает данные откуда-то еще. На случай, если мне нужно защитить данные от веб-приложения, что редко встречается в обычном веб-приложении.

Answer 1

Вы должны использовать политику безопасности контента (CSP), которая позволила бы браузеру запретить инъекционные атаки. Это может быть немного сложно настроить правильно, поэтому я бы использовал Report URI , чтобы помочь вам в этом. Хитрость заключается в том, чтобы сначала использовать режим только для отчетов, пока вы не подтвердите настройки, а затем переключитесь на принудительное применение.