<br><br><div class="gmail_quote">On Fri, Dec 30, 2011 at 6:53 AM, David Bruant <span dir="ltr"><<a href="mailto:bruant.d@gmail.com">bruant.d@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

  
    
  
  <div text="#000000" bgcolor="#FFFFFF">
    Le 30/12/2011 02:28, John J Barton a écrit :
    <div><div class="h5"><blockquote type="cite">On Thu, Dec 29, 2011 at 5:11 PM, David Bruant <span dir="ltr"><<a href="mailto:bruant.d@gmail.com" target="_blank">bruant.d@gmail.com</a>></span>
      wrote:<br>
      <div class="gmail_quote">
        <blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
          Le 30/12/2011 01:00, Lasse Reichstein a écrit :<br>
          <div>> On Thu, Dec 29, 2011 at 8:41 PM, Mark S.
            Miller <<a href="mailto:erights@google.com" target="_blank">erights@google.com</a>>
            wrote:<br>
          </div>
          I've been thinking about this "run first" idea for some time.
          Since on a<br>
          webpage, security seems to depend on your ability to run code
          first, it<br>
          would be interesting if there was a way to ensure that some
          code<br>
          (preferably defensive) is run before *any* other code. Though
          I find<br>
          this interesting, I'm still not sure whether this would be a
          good or bad<br>
          idea. I'm also clueless on how it would look like.<br>
          Creative ideas welcome.<br>
        </blockquote>
        <div><br>
          The browser runs first: what can't it do that you want to
          support?<br>
        </div>
      </div>
    </blockquote></div></div>
    I was thinking of the case of XSS for instance where your code is in
    competition with unexpected and malicious code. What I've said
    before applies and even against an XSS attack, you can prevent
    cookie theft as long as you run first.<br>
    I can't see a way for the browser to enforce that trusted code run
    before untrusted code.<span class="HOEnZb"><font color="#888888"><br><br></font></span></div></blockquote><div>I must be missing something here, but if you put your defensive script first in the head of the html, how can XSS code run first? Most XSS attacks are base on user data unescaped and put into the body of the page somewhere. As long as server-side html generation never inserts unescaped code into the head before the defensive script code, where is the vulnerability. I'm not saying I'm right, I just don't see it.</div>
<div><br></div><div>- Russ</div><div> </div></div>