个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
26
4
我刚刚复制粘贴并在 Scratchpad 中运行一段代码形成网站的源代码。
我想知道这段代码运行时是否有更多权限通过 Scratchpad Firefox 或具有与直接通过网页运行时相同的权限。
Scam Warning: Take care when pasting things you don't understand.
This could allow attackers to steal your identity or take control of your computer.
我知道有一些 javascript 漏洞可以通过网站运行但是..
"The javascript on Scratchpad has more privileges than a Javascript of a webpage and the attackers can steal without exploits, just with standar code"
在安全方面,相同的代码在网站和 Scratchpad 中的行为可能不同?
或者就像将它包含在 html 中,所有安全措施都在网站中包含 javascript?
为什么 Firefox 在 Scratchpad 上提醒我们一些只要访问恶意网页(潜在的 javascript 攻击)就可以完成的事情?
最佳答案
默认情况下,在暂存器中运行的代码可以执行您正在查看的网站上的 JavaScript 可以执行的任何操作,不多也不少。这意味着它可以从该站点访问您的数据,并可能在不告诉您的情况下将其发送到其他地方,或者它可以在该站点上假装是您。您看到的消息是对不是编码人员的粗心用户的警告,以防止他们将可能会执行某些操作的恶意代码粘贴到暂存器中,只是因为有人告诉他们这样做,因为他们无法分辨该代码是恶意的。如果您访问 Facebook 并查看浏览器控制台,您会看到一个解释相同内容的类似警告,因为这是一种相当常见的社会工程攻击类型。
现在,我之前说过“默认”,让我解释一下我的意思。也可以将暂存器从“内容”模式更改为“浏览器”模式。为此,您必须在开发人员工具设置中启用该选项(称为“启用浏览器 chrome 和附加调试工具箱”),然后使用环境菜单将暂存器切换到浏览器模式。如果您执行这些操作,则暂存器可以执行浏览器本身(而不是特定网站)可以执行的任何操作。所以在那种模式下运行的暂存器确实比网页拥有更多的权限;它可以做 native 应用程序可以做的任何事情。但内容模式是默认模式,它具有与网页完全相同的权限设置。
关于javascript - Firefox Scratchpad 的 javascript 代码比标准网站 javascript 代码有更多权限?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35058933/
26
4
0
我尝试理解[c代码 -> 汇编]代码 void node::Check( data & _data1, vector& _data2) { -> push ebp -> mov ebp,esp ->
我需要在当前表单(代码)的上下文中运行文本文件中的代码。其中一项要求是让代码创建新控件并将其添加到当前窗体。 例如,在Form1.cs中: using System.Windows.Forms; ..
我有此 C++ 代码并将其转换为 C# (.net Framework 4) 代码。有没有人给我一些关于 malloc、free 和 sprintf 方法的提示? int monate = ee; d
我的网络服务器代码有问题 #include #include #include #include #include #include #include int
给定以下 html 代码,将列表中的第三个元素(即“美丽”一词)以斜体显示的 CSS 代码是什么?当然,我可以给这个元素一个 id 或一个 class,但 html 代码必须保持不变。谢谢
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 我们不允许提问寻求书籍、工具、软件库等的推荐。您可以编辑问题,以便用事实和引用来回答。 关闭 7 年前。
我试图制作一个宏来避免重复代码和注释。 我试过这个: #define GrowOnPage(any Page, any Component) Component.Width := Page.Surfa
我正在尝试将我的旧 C++ 代码“翻译”成头条新闻所暗示的 C# 代码。问题是我是 C# 中的新手,并不是所有的东西都像 C++ 中那样。在 C++ 中这些解决方案运行良好,但在 C# 中只是不能。我
在 Windows 10 上工作,R 语言的格式化程序似乎没有在 Visual Studio Code 中完成它的工作。我试过R support for Visual Studio Code和 R-T
我正在处理一些报告(计数),我必须获取不同参数的计数。非常简单但乏味。 一个参数的示例查询: qCountsEmployee = ( "select count(*) from %s wher
最近几天我尝试从 d00m 调试网络错误。我开始用尽想法/线索,我希望其他 SO 用户拥有可能有用的宝贵经验。我希望能够提供所有相关信息,但我个人无法控制服务器环境。 整个事情始于用户注意到我们应用程
我有一个 app.js 文件,其中包含如下 dojo amd 模式代码: require(["dojo/dom", ..], function(dom){ dom.byId('someId').i
我对“-gencode”语句中的“code=sm_X”选项有点困惑。 一个例子:NVCC 编译器选项有什么作用 -gencode arch=compute_13,code=sm_13 嵌入库中? 只有
我为我的表格使用 X-editable 框架。 但是我有一些问题。 $(document).ready(function() { $('.access').editable({
我一直在通过本教程学习 flask/python http://blog.miguelgrinberg.com/post/the-flask-mega-tutorial-part-i-hello-wo
我想将 Vim 和 EMACS 用于 CNC、G 代码和 M 代码。 Vim 或 EMACS 是否有任何语法或模式来处理这种类型的代码? 最佳答案 一些快速搜索使我找到了 this vim 和 thi
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 想改进这个问题?更新问题,使其成为 on-topic对于堆栈溢出。 7年前关闭。 Improve this
这个问题在这里已经有了答案: Enabling markdown highlighting in Vim (5 个回答) 6年前关闭。 当我在 Vim 中编辑包含 Markdown 代码的 READM
我正在 Swift3 iOS 中开发视频应用程序。基本上我必须将视频 Assets 和音频与淡入淡出效果合并为一个并将其保存到 iPhone 画廊。为此,我使用以下方法: private func d
pipeline { agent any stages { stage('Build') { steps { e
我是一名优秀的程序员,十分优秀!