Firefox Scratchpad 的 JavaScript 代码比标准网站 JavaScript 代码具有更多的权限
Firefox Scratchpad's javascript code has more privileges than a standard website javascript code?
我只是复制粘贴并通过暂存器运行网站源代码的代码。
我想知道此代码在运行时是否具有更多权限通过 Firefox 的暂存器,或者具有与直接通过网页运行时相同的权限。
在粘贴到暂存器上之前,Firefox 会提醒以下消息:
诈骗警告:粘贴您不理解的内容时要小心.
这可能允许攻击者窃取您的身份或控制您的计算机。
我知道有一些javascript漏洞可以通过网站运行,但是..
来自火狐的消息似乎是这样的:
"Scratchpad 上的 JavaScript 比网页的 Javascript 拥有更多的特权,攻击者可以在没有漏洞的情况下窃取,只需使用标准代码"
是真的吗?
相同的代码在 安全性方面可能与网站不同,与暂存器不同?
或者就像将其包含在 html 中一样,以及网站内包含 javascript 的所有安全措施?
为什么 Firefox 会在 Scratchpad 上提醒我们,只要访问恶意网页(潜在的 JavaScript 攻击)就可以完成一些事情?
默认情况下,在暂存器中运行的代码可以做您正在查看的网站上的 JavaScript 可以做的任何操作,不多也不少。这意味着它可以从该站点访问您的数据,并可能在不通知您的情况下将其发送到其他地方,或者它可以在该站点上假装成您的操作。您看到的消息是对不是编码人员的粗心用户的警告,以防止他们将恶意代码粘贴到暂存器中,这些代码可能会执行某些操作,因为他们无法分辨代码是恶意的。如果你去Facebook查看浏览器控制台,你会看到一个类似的警告,解释同样的事情,因为这是一种相当常见的社会工程攻击类型。
现在,我之前说"默认",让我解释一下我的意思。也可以将暂存器从"内容"模式更改为"浏览器"模式。为此,您必须在开发人员工具设置中启用该选项(称为"启用浏览器镶边和附加调试工具箱"),然后使用"环境"菜单将暂存器切换到浏览器模式。如果你做了这些事情,那么暂存器可以做浏览器本身(而不是特定网站)可以做的任何事情。因此,在该模式下运行的暂存器确实比网页具有更多的权限;它可以执行本机应用程序可以执行的任何操作。但内容模式是默认模式,它具有与网页完全相同的权限集。
- 云代码(javascript)失败,原因是:{代码:1,消息:内部错误
- 简化此If语句,使其不会't重复代码-Javascript
- 十进制到二进制代码Javascript
- 第二次单击时执行不同的代码(JavaScript)
- 在不使用jquery($symbol)knockout.js的情况下分离代码javascript
- 缩短几个元素的onclick代码 - JavaScript
- 英国银行排序代码 JavaScript 正则表达式
- 我无法在谷歌图表的代码 javascript 中获取 json 数据(项目 Python Hello Dashboard
- 和代码 JavaScript 没有被 &.
- 我怎样才能减少这段代码 javascript 代码,这样它就不会那么重复了
- 我想单击一个按钮,一次只执行已经制作的程序中的一行代码.(JavaScript)
- 滑动 DIV 代码 Javascript 的小问题
- 尝试重写代码 JavaScript
- 是否可以检测到在不使用键代码 javascript 的情况下按下了输入键
- 输入网址代码 JavaScript 播放器
- 管理通用客户端代码(javascript/css)
- 理解代码javascript
- 加载json-url参数代码(javascript修改)
- 变量检查错误的代码(javascript)
- css属性仅由代码javascript应用