【发布时间】:2019-06-07 01:02:46
【问题描述】:
只是一个愚蠢的问题。我知道这是不可能的,但我只是出于偏执而要求确认。
不可能编辑网页的源代码并以某种方式在浏览器中重新加载已编辑的脚本,对吗?
否则,任何人都可以将他们想要的任何内容放入任何页面的源代码中,然后重新加载他们编辑的源代码以做任何他们喜欢的事情,这将使整个万维网变得脆弱。
【问题讨论】:
-
这可能可以使用客户端工具完成,例如浏览器扩展。但这显然不会影响网页的任何其他加载器,因为它们连接到源服务器,而不是连接到奇数计算机保存的缓存。
-
嗯,有一些技巧是可能的,主要浏览器有几个插件允许用户注入和/或编辑源文件。除此之外,还有一个“代理”,通常用于调试/开发 Web 应用程序,也可以用于实时编辑服务器接收到的 html 源代码。
-
@Goran.it:您说的是开发人员工具/Firebug 之类的插件,它们确实允许我们在客户端编辑源代码,但这是无害的,对吧?在“代理”中,您可能指的是 Fiddler 和 Wireshark(以及那些类似的)代理。但可以肯定的是,如果通信是在 SSL/TLS/HTTPS 上,你就不能发起中间人攻击,对吧?
-
@WaterCoolrv2 无法通过网络拦截,但如果客户端的机器(浏览器)受到威胁,数据和所有通信也会受到威胁
-
@CertainPerformance 谢谢。假设浏览器没有受到威胁,那么攻击者就不可能将脚本 (XSS) 注入到网页源的本地副本中并将其发布回服务器,对吗?即使在未加密的 HTTP 连接上,对吗?如果服务器正确验证了 XSS 并拒绝了所有标记?
标签: javascript html security web websecurity