个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
26
4
我刚刚复制粘贴并在 Scratchpad 中运行一段代码形成网站的源代码。
我想知道这段代码运行时是否有更多权限通过 Scratchpad Firefox 或具有与直接通过网页运行时相同的权限。
Scam Warning: Take care when pasting things you don't understand.
This could allow attackers to steal your identity or take control of your computer.
我知道有一些 javascript 漏洞可以通过网站运行但是..
"The javascript on Scratchpad has more privileges than a Javascript of a webpage and the attackers can steal without exploits, just with standar code"
在安全方面,相同的代码在网站和 Scratchpad 中的行为可能不同?
或者就像将它包含在 html 中,所有安全措施都在网站中包含 javascript?
为什么 Firefox 在 Scratchpad 上提醒我们一些只要访问恶意网页(潜在的 javascript 攻击)就可以完成的事情?
最佳答案
默认情况下,在暂存器中运行的代码可以执行您正在查看的网站上的 JavaScript 可以执行的任何操作,不多也不少。这意味着它可以从该站点访问您的数据,并可能在不告诉您的情况下将其发送到其他地方,或者它可以在该站点上假装是您。您看到的消息是对不是编码人员的粗心用户的警告,以防止他们将可能会执行某些操作的恶意代码粘贴到暂存器中,只是因为有人告诉他们这样做,因为他们无法分辨该代码是恶意的。如果您访问 Facebook 并查看浏览器控制台,您会看到一个解释相同内容的类似警告,因为这是一种相当常见的社会工程攻击类型。
现在,我之前说过“默认”,让我解释一下我的意思。也可以将暂存器从“内容”模式更改为“浏览器”模式。为此,您必须在开发人员工具设置中启用该选项(称为“启用浏览器 chrome 和附加调试工具箱”),然后使用环境菜单将暂存器切换到浏览器模式。如果您执行这些操作,则暂存器可以执行浏览器本身(而不是特定网站)可以执行的任何操作。所以在那种模式下运行的暂存器确实比网页拥有更多的权限;它可以做 native 应用程序可以做的任何事情。但内容模式是默认模式,它具有与网页完全相同的权限设置。
关于javascript - Firefox Scratchpad 的 javascript 代码比标准网站 javascript 代码有更多权限?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35058933/
26
4
0
我已经为桌面和移动 Firefox 开发了一些 Firefox 插件(扩展),但现在我无法将插件/扩展安装到在 Firefox OS 中运行的浏览器中(我正在使用模拟器插件)。请注意,我不想创建一个传
可以将选项卡/网址从移动 Firefox 发送到桌面 Firefox 浏览器,但是否可以以相反的方式执行此操作?从桌面版 Firefox 到移动版 Firefox,并像其他方向一样自动加载。我找不到除
我想等待 Firefox-Browser-Events (sessionstore-windows-restored, user-interaction-inactive,..) 以清除历史记录。我的
我在公司网络中,想为 Firefox 安装一些开发人员工具。不幸的是,政策禁止 Firefox 直接访问互联网,但还有其他浏览器可以访问互联网。现在:如何在没有 Firefox 的情况下直接下载 xp
是否有用于在 firefox 中执行选择性缓存的插件或方法?我可以disable caching entirely ,但我仍然希望能够缓存一些需要几秒钟才能加载的大型 javascript 库 (ex
我目前正在将 Chrome 扩展程序转换为 Firefox 插件,并希望复制 chrome.storage.sync 功能。 但是,我无法使用 simple-storage 找到是否由 Firefox
关闭。这个问题不满足Stack Overflow guidelines .它目前不接受答案。 想改善这个问题吗?更新问题,使其成为 on-topic对于堆栈溢出。 6年前关闭。 Improve thi
所以,我使用这个代码: var options = { enableHighAccuracy: true, timeout: 2000, maximumAge: 100 }; navi
有没有办法打开 Firefox 并强制它在启动时加载临时加载项(webextension)?通常我必须手动去about:debugging并选择我硬盘上的扩展名。我正在寻找一个可以在加载 Firefo
我正在密切关注教程 here当我尝试创建 Firefox 扩展时。我的扩展有以下树: backtosearch +-chrome +-content backtosearch.
如何从代码中正确地重启 firefox(没有任何“恢复 session ”的东西并且使用与以前相同的窗口)? 我知道 bash 脚本进程中“firefox-bin”的 pid,并且我已将自定义插件加载
自从 Firefox 的最后几次更新以来,我们心爱的 Firebug 已集成到 Firefox 开发人员工具中,并且包括我在内的很多人 don't like what happened到 Firebu
当你在某处上传图片时,在使用chrome时,你可以看到状态栏实际上显示了上传的“状态”,即上传完成的百分比。 Firefox 的状态栏有没有办法显示这个上传状态? 最佳答案 用谷歌搜索这个,发现这个:
例如 Chrome 保存在这里:~Library/Application Support/Google/Chrome/Default/Current Tabs和 Safari 在这里 ~/Librar
当火狐开发者版推出时,我很高兴,我可以使用WebIde、响应式设计工具、滴管等……今天我受够了。 里面有很多bug,我就不一一列举我和我的同事发送和批准了多少bug了…… 我在 google 中搜索过
我在 Ubuntu 上使用 Firefox,版本 39.0。我正在尝试调试一个附加组件,并希望在 chrome 权限下运行一些 JavaScript。根据 this page我应该能够在浏览器控制台中
几天前,我更改了我的网站的图标:打开网站后,它可以很好地工作: 我的网站也在我的书签中,但是显示了旧的收藏夹图标: 我已经看过here,但是答案并没有解决我的问题。 解决方法可能非常简单,但是到目前为
我正在使用web API从Firefox开发一个 native 消息传递应用程序。该扩展应该调用一个解析stdin的应用程序,然后基于它解析的一些数据调用我的另一个rust应用程序,但是出于显而易见的
在 Firefox 中有插件和扩展。你能解释一下为什么这些插件有不同的名称和标签吗?它们是否差异如此之大,以至于需要不同的名称?我认为区分这些东西有点不自然,扩展具有越来越多的功能,与插件相比它们缺少
我正在使用附加构建器和附加 SDK 编写 Firefox 扩展。到目前为止,我已经能够解决任何限制,而无需迁移到 XUL。但是,我遇到了障碍。 我的扩展程序有一个长时间运行的进程,可能会阻塞,因此我需
我是一名优秀的程序员,十分优秀!