例如,Facebook.com 是否可以在我的浏览器上运行版本控制脚本并确定我是否使用脚本运行更改后的 HTML 代码?
这是否可以通过一个脚本来完成,该脚本可以读取缓存中的 HTML 代码并生成某种哈希标记,然后将其发送回服务器并与发送到客户端的代码进行比较?
【问题讨论】:
标签: javascript facebook greasemonkey userscripts tampermonkey
是的,理论上,网站可以在各种情况下推断出脚本的存在。
这不是万无一失的,而且对于网站的微不足道的“威胁”通常太麻烦了。 (话又说回来,有些网站管理员可能对这些事情有强迫症。;))
一些方法,取决于脚本的作用(不分先后):
游戏或拍卖网站可以监控“投标”点击的时间(速度和规律)。
网站可以通过 AJAX 回传 <script> 节点的计数,以寻找额外信息。
同样,网站可以 AJAX 支持页面的任何或所有内容并将其与预期值进行比较。
可以记录额外的 AJAX 调用或不满足隐藏要求的 AJAX 调用(并允许显示为成功)。
如果脚本以正确(错误)的方式使用unsafeWindow,则a page can detect that and even hijack (slightly) elevated privileges。
可以检测到之前没有鼠标悬停事件的“点击”。我实际上已经在野外看到过这个。
A page's javascript can often detect script-generated clicks (etc.) 与用户生成的不同。 (感谢c69 的提醒。)
不过,最终优势在于用户脚本编写者。网页采取的任何反制措施都可以在用户端被检测和阻止。即使是定制的、所需的插件或所需的硬件加密狗也可以被熟练和积极的用户颠覆。
【讨论】:
.isTrusted 属性),可能很快就会在其他浏览器中实现。
@grant none 模式下也是如此。 ...如果用户脚本创建<script> 节点,那么页面可以看到那些的来源。
更新:以下方法自Greasemonkey 3.3起完全无效。
见(死链接)How-to Detect Greasemonkey。
检测 GM 是否已安装的Javascript(但不检测该页面上是否实际运行脚本):
过时的选项 1:
if (Components.interfaces.gmIGreasemonkeyService) {
alert("I smell a monkey!");
}
过时的选项 2:
<script type="text/javascript" src="resource://greasemonkey/addons4.js"></script>
<script type="text/javascript">
if (typeof GM_addonsStartup !== "undefined") {
alert("I smell a monkey!");
}
</script>
【讨论】: