Пять лет назад мы обсуждалиподлецов-провайдеров, которые вставляют свою рекламу в страницы чужих сайтов. Там даже оборудован срипт, который это показывает (хотя обычно вставляют они свое дерьмо не каждый раз и поймать их за руку тяжело). В тот год я ушел к провайдеру Onlime потому что он был чист в этом смысле. Но шло время, Onlime был куплен Ростелекомом, и вот сегодня я увидел вверху своего собственного сайта большой рекламный баннер кухонной техники или что-то в этом роде.
Огорчился.
И решил, что надо вообще на любой странице движка определять внедрившиеся скрипты (то есть все, кроме белого списка). К сожалению, средствами JS никак нельзя заблокировать загрузку внедрившихся скриптов, поэтому движок предлагает посетителю открыть ту же страницу через https.
Заодно поставил писать логивсех внедряемых скриптов. Очень поучительно, откройте его...
Единственная проблема: не очень пока представляю, как ловушка говна будет работать со страницами движка, в которых я мог сам использовать внешние скрипты, не входящие в белый список. А также как будут работать всякие расширения Хрома, веб-вью в приложениях-клиентах и прочая ересь. Если заметите какие-то странности — пишите.
Вообще конечно https должен спасти всех, используйте по возможности его. Хотя я не готов пока полностью запретить http на своем сайте по совокупности технических нюансов.