Я хочу административно предотвратить целый класс атак XSS, не позволяя ничему на моей странице отправлять запросы XHR / XMLHttpRequest (или другие?) на другие домены, кроме домена, на котором размещена страница. Это возможно?
Я думал, что смогу сделать это с Cross-Origin Resource Sharing (CORS) , но, похоже, я ошибся. Если страница, размещенная на domain-a.com, пытается отправить XHR-запрос к domain-b.com, CORS можно использовать на страницах domain-b.com , чтобы контролировать, разрешено это или нет.
Так что, если что-то на странице на domain-a.com попытается сделать XHR-запрос к hackers-r-us.com, который будет разрешен, при условии, что hackers-r-us.com установит соответствующий CORS headers.
Но есть ли что-то, что я могу установить на странице на domain-a.com, чтобы запретить запросы к другим доменам, таким как hackers-r-us.com, независимо от заголовков CORS на hackers-r-us. ком?