Estoy planeando un proyecto que debe ser compatible con PCI, pero estoy atascado en una vulnerabilidad en particular y no puedo pensar en una forma de protegerme contra él.
El escenario es que hay un quiosco instalado en una ubicación pública que ejecuta una aplicación HTML / Javascript. La computadora física está bloqueada, pero los usuarios pueden acceder a la pantalla táctil y al teclado.
El kiosco tendría un firewall y solo se le permitiría cargar contenido de ciertos dominios o IP, pero me preocupa que un usuario ingrese código directamente en la página.
Lo que estoy imaginando es que una persona que accede al quiosco podría inyectar código en la página utilizando document.write () que registraría la entrada del usuario, y luego volver al kiosco más tarde para recopilar la entrada.
En este punto, parece que la única protección contra esto es que el usuario probablemente no pueda abrir una consola web utilizando solo el teclado. ¿Hay alguna de las siguientes formas a) para evitar que se carguen scripts adicionales después de cierto punto? o b) ¿alguna forma de garantizar que una consola web no pueda abrirse en un navegador? ¿O alguna otra protección?
En otras palabras, además de proteger físicamente la computadora, ¿qué debo hacer para asegurar una aplicación de kiosco basada en el navegador cuando el kiosco tiene un teclado?
¡Y las ideas o pensamientos son apreciados!