Firefox Scratchpad 的 javascript 代码比标准网站 javascript 代码有更多权限?
Firefox Scratchpad's javascript code has more privileges than a standard website javascript code?
我刚刚通过便签本复制粘贴和运行代码形成了一个网站的源代码。
我想知道这段代码在 运行s 时是否有更多权限
通过 Firefox Scratchpad 或直接通过网页 运行 具有相同的权限。
在 Scratchpad 上粘贴之前,Firefox 会提示此消息:
Scam Warning: Take care when pasting things you don't understand.
This could allow attackers to steal your identity or take control of your computer.
我知道有 javascript 个漏洞可以 运行 通过网站但是..
来自 Firefox 的消息如下:
"The javascript on Scratchpad has more privileges than a Javascript of a webpage and the attackers can steal without exploits, just with standar code"
这是真的吗?
相同的代码在安全方面可以与网站和 Scratchpad 不同?
或者就像将它包含在 html 中一样,所有安全措施都包含在网站中 javascript?
为什么 Firefox 在 Scratchpad 上提醒我们一些只要访问恶意网页就可以完成的事情(潜在的 javascript 攻击)?
默认情况下,暂存器中的代码 运行 可以执行您正在查看的网站上的 JavaScript 可以执行的任何操作,不多也不少。这意味着它可以从该站点访问您的数据,并可能在不告诉您的情况下将其发送到其他地方,或者它可以在该站点上假装是您。您看到的消息是对不是编码人员的粗心用户的警告,以防止他们将可能会执行某些操作的恶意代码粘贴到暂存器中,只是因为有人告诉他们这样做,因为他们无法分辨该代码是恶意的。如果你去 Facebook 并查看浏览器控制台,你会看到一个类似的警告,解释同样的事情,因为这是一种相当常见的社会工程攻击类型。
现在,我刚才说"by default",让我解释一下我的意思。也可以将暂存器从 "content" 模式更改为 "browser" 模式。为此,您必须在开发人员工具设置中启用该选项(称为 "Enable browser chrome and add-on debugging toolboxes"),然后使用环境菜单将暂存器切换到浏览器模式。如果您执行这些操作,那么便签本可以执行 浏览器本身 而不是特定网站可以执行的任何操作。因此,该模式下的暂存器 运行 确实比网页拥有更多的权限;它可以做本机应用程序可以做的任何事情。但是内容模式是默认模式,它的权限设置和网页完全一样。
我刚刚通过便签本复制粘贴和运行代码形成了一个网站的源代码。
我想知道这段代码在 运行s 时是否有更多权限 通过 Firefox Scratchpad 或直接通过网页 运行 具有相同的权限。
在 Scratchpad 上粘贴之前,Firefox 会提示此消息:
Scam Warning: Take care when pasting things you don't understand.
This could allow attackers to steal your identity or take control of your computer.
我知道有 javascript 个漏洞可以 运行 通过网站但是..
来自 Firefox 的消息如下:
"The javascript on Scratchpad has more privileges than a Javascript of a webpage and the attackers can steal without exploits, just with standar code"
这是真的吗?
相同的代码在安全方面可以与网站和 Scratchpad 不同?
或者就像将它包含在 html 中一样,所有安全措施都包含在网站中 javascript?
为什么 Firefox 在 Scratchpad 上提醒我们一些只要访问恶意网页就可以完成的事情(潜在的 javascript 攻击)?
默认情况下,暂存器中的代码 运行 可以执行您正在查看的网站上的 JavaScript 可以执行的任何操作,不多也不少。这意味着它可以从该站点访问您的数据,并可能在不告诉您的情况下将其发送到其他地方,或者它可以在该站点上假装是您。您看到的消息是对不是编码人员的粗心用户的警告,以防止他们将可能会执行某些操作的恶意代码粘贴到暂存器中,只是因为有人告诉他们这样做,因为他们无法分辨该代码是恶意的。如果你去 Facebook 并查看浏览器控制台,你会看到一个类似的警告,解释同样的事情,因为这是一种相当常见的社会工程攻击类型。
现在,我刚才说"by default",让我解释一下我的意思。也可以将暂存器从 "content" 模式更改为 "browser" 模式。为此,您必须在开发人员工具设置中启用该选项(称为 "Enable browser chrome and add-on debugging toolboxes"),然后使用环境菜单将暂存器切换到浏览器模式。如果您执行这些操作,那么便签本可以执行 浏览器本身 而不是特定网站可以执行的任何操作。因此,该模式下的暂存器 运行 确实比网页拥有更多的权限;它可以做本机应用程序可以做的任何事情。但是内容模式是默认模式,它的权限设置和网页完全一样。