当我查看潜在恶意页面的源代码时,该网站是否会危害我的计算机?
When I view the source code of a potentially malicious page, can the website harm my computer?
我正在调查某事,它引导我访问了一个在线网站。
我还没有访问该网站,因为我有理由相信它可能包含恶意内容。
我知道在GoogleChrome中可以按Ctrl-U查看网页源代码。不幸的是,这需要访问该页面。
然后我发现在URL.
的https://
部分前加view-source:
,不用访问也能获取网页源代码
所以我可以用view-source:https://www.wikipedia.org
查看维基百科的主页源代码。
我想对潜在的恶意网站执行同样的操作,但我不希望我的计算机出现任何问题。关于该网站,我唯一可以咨询的人说它“跟踪你的电脑”。虽然他们从谁那里听到的确实有网络工程背景,但他们自己没有,所以我没有任何关于它的详细信息。
我知道基本上所有网站都会“跟踪”您,即通过在用户计算机上安装 cookie 来收集有关您计算机的信息,例如 IP 地址、window 分辨率、用户登录等下次访问时会被要求,但我不太了解这些能力可以扩展到什么程度。
我还从某个地方发现(我可能是错的)“查看页面源代码”和“检查页面源代码”之间存在差异,因为第一个在任何 JavaScript 已应用,第二个在您访问网站后可用,并且任何适用的 JavaScript 已被应用,您可以看到其结果。
基于此,如果我不关心页。
所以基本上,我需要知道这些事情:
使用view-source:
真的绝对安全吗?我假设不会,所以我想确切地知道我正在承担哪些风险以及我通过这样做避免了哪些风险。编辑:忘记提及。该网站是否知道我正在查看其源代码,并且是否因此知道我的 IP 地址请求了其源代码?
假设我可以阅读 JavaScript 脚本,我是否可以通过单独阅读 view-source:
中的内容来大致了解脚本的作用,或者网页可以从其他网页访问脚本而不明确地写在该页面上? (我假设他们可以做到这一点,因为我在其他网站上看到以 .js 结尾的超链接,我可以单击以显示更多 JavaScript 脚本)注意:我真的不在乎网页的内容是什么就普通用户看到的内容而言,因为我的调查已经知道and/or不关心上面的内容,我只关心网页在跟踪用户方面做了什么。
“跟踪你的计算机”到底能带来什么?换句话说,最坏的情况是什么?没有什么场景太离奇了;我调查的一部分是了解这类东西,因为它会帮助我们走下去。
我暂时忽略上面的“如何提问”话题来回答你的问题。
我不确定 Stack Overflow 是否是 Stack Exchange 中的正确站点。
问题基本上是您怀疑来自“潜在恶意页面”的威胁。
如果您的顾虑主要是关于隐私,那么冒这个险或许没问题。
有时我什至只是使用“隐身模式”,尽管我知道它有缺陷,如果我怀疑的威胁是有限的。
如果您担心页面代码可能会尝试使用浏览器中的安全问题或更多方式将权限提升到沙箱之外,您基本上会信任页面正在尝试的同一软件的安全实现“入侵”。
对于后者,我至少使用具有最少软件和网络访问权限的只读 VM,或者当它涉及严重威胁时,例如一个勒索软件,实际上是一个旧笔记本,它在安装之前被安装并在之后被擦除,甚至硬盘在之后被破坏。
即使是后者,我也冒着风险,某些东西可能已经修改了 BIOS。
一般的答案是首先在您的浏览器中禁用 javascript 和 cookie。
一般来说是的,查看源代码是可以的,尤其是如果之前禁用了 javscript。
如果他们的脚本是可读的,你可以,但是许多网站会最小化代码,这通常不是很可读。
如果 javascript 被禁用,则他们的跟踪可能无法正常工作或充其量是不完整的。
我正在调查某事,它引导我访问了一个在线网站。
我还没有访问该网站,因为我有理由相信它可能包含恶意内容。
我知道在GoogleChrome中可以按Ctrl-U查看网页源代码。不幸的是,这需要访问该页面。
然后我发现在URL.
的https://
部分前加view-source:
,不用访问也能获取网页源代码
所以我可以用view-source:https://www.wikipedia.org
查看维基百科的主页源代码。
我想对潜在的恶意网站执行同样的操作,但我不希望我的计算机出现任何问题。关于该网站,我唯一可以咨询的人说它“跟踪你的电脑”。虽然他们从谁那里听到的确实有网络工程背景,但他们自己没有,所以我没有任何关于它的详细信息。
我知道基本上所有网站都会“跟踪”您,即通过在用户计算机上安装 cookie 来收集有关您计算机的信息,例如 IP 地址、window 分辨率、用户登录等下次访问时会被要求,但我不太了解这些能力可以扩展到什么程度。
我还从某个地方发现(我可能是错的)“查看页面源代码”和“检查页面源代码”之间存在差异,因为第一个在任何 JavaScript 已应用,第二个在您访问网站后可用,并且任何适用的 JavaScript 已被应用,您可以看到其结果。
基于此,如果我不关心页。
所以基本上,我需要知道这些事情:
使用
view-source:
真的绝对安全吗?我假设不会,所以我想确切地知道我正在承担哪些风险以及我通过这样做避免了哪些风险。编辑:忘记提及。该网站是否知道我正在查看其源代码,并且是否因此知道我的 IP 地址请求了其源代码?假设我可以阅读 JavaScript 脚本,我是否可以通过单独阅读
view-source:
中的内容来大致了解脚本的作用,或者网页可以从其他网页访问脚本而不明确地写在该页面上? (我假设他们可以做到这一点,因为我在其他网站上看到以 .js 结尾的超链接,我可以单击以显示更多 JavaScript 脚本)注意:我真的不在乎网页的内容是什么就普通用户看到的内容而言,因为我的调查已经知道and/or不关心上面的内容,我只关心网页在跟踪用户方面做了什么。“跟踪你的计算机”到底能带来什么?换句话说,最坏的情况是什么?没有什么场景太离奇了;我调查的一部分是了解这类东西,因为它会帮助我们走下去。
我暂时忽略上面的“如何提问”话题来回答你的问题。 我不确定 Stack Overflow 是否是 Stack Exchange 中的正确站点。
问题基本上是您怀疑来自“潜在恶意页面”的威胁。
如果您的顾虑主要是关于隐私,那么冒这个险或许没问题。 有时我什至只是使用“隐身模式”,尽管我知道它有缺陷,如果我怀疑的威胁是有限的。
如果您担心页面代码可能会尝试使用浏览器中的安全问题或更多方式将权限提升到沙箱之外,您基本上会信任页面正在尝试的同一软件的安全实现“入侵”。
对于后者,我至少使用具有最少软件和网络访问权限的只读 VM,或者当它涉及严重威胁时,例如一个勒索软件,实际上是一个旧笔记本,它在安装之前被安装并在之后被擦除,甚至硬盘在之后被破坏。 即使是后者,我也冒着风险,某些东西可能已经修改了 BIOS。
一般的答案是首先在您的浏览器中禁用 javascript 和 cookie。
一般来说是的,查看源代码是可以的,尤其是如果之前禁用了 javscript。
如果他们的脚本是可读的,你可以,但是许多网站会最小化代码,这通常不是很可读。
如果 javascript 被禁用,则他们的跟踪可能无法正常工作或充其量是不完整的。