2

我刚刚复制粘贴并在 Scratchpad 中运行了来自网站源代码的代码。

我想知道这段代码在通过 Firefox 的 Scratchpad运行时是否具有更多权限,还是与直接通过网页运行时具有相同的权限。

粘贴到 Scratchpad 之前,Firefox 会提示此消息:

诈骗警告:粘贴您不理解的内容时要小心。
这可能使攻击者窃取您的身份控制您的计算机

我知道有可以通过网站运行的 javascript 漏洞,但是..

来自 Firefox 的消息看起来像:

Scratchpad 上的 javascript 比网页的 Javascript 拥有更多权限,攻击者可以在没有漏洞的情况下窃取,只需使用标准代码”

这是真的吗?

在安全性方面,相同的代码可以与网站不同,也可以与 Scratchpad 不同

或者就像将它包含在 html中一样,所有安全措施都将 javascript 包含在网站中?

为什么 Firefox 会在 Scratchpad 上提醒我们一些只要访问恶意网页(潜在的 javascript 攻击)就可以完成的事情?

4

1 回答 1

3

默认情况下,暂存器中运行的代码可以执行您正在查看的网站上的 JavaScript 可以执行的任何操作,不多也不少。这意味着它可以从该站点访问您的数据,并可能在不告诉您的情况下将其发送到其他地方,或者它可以在该站点上冒充您采取行动。您看到的消息是对非编码人员的粗心用户的警告,以防止他们将可能执行某些操作的恶意代码粘贴到暂存器中,因为有人告诉他们这样做,因为他们无法分辨该代码是恶意的。如果你去 Facebook 并查看浏览器控制台,你会看到一个类似的警告,解释同样的事情,因为这是一种相当常见的社会工程攻击类型。

现在,我之前说过“默认”,让我解释一下我的意思。也可以将暂存器从“内容”模式更改为“浏览器”模式。为此,您必须在开发人员工具设置中启用该选项(称为“启用浏览器 chrome 和附加调试工具箱”),然后使用环境菜单将暂存器切换到浏览器模式。如果你做这些事情,那么暂存器可以做任何浏览器本身(而不是特定网站)可以做的事情。所以以这种模式运行的暂存器确实比网页拥有更多的权限;它可以做本地应用程序可以做的任何事情。但内容模式是默认模式,它与网页的权限设置完全相同。

于 2016-01-28T22:38:49.070 回答