-
Notifications
You must be signed in to change notification settings - Fork 2.8k
脚本的安全性
blackmatrix7 edited this page Apr 19, 2021
·
4 revisions
JavaScript脚本可以执行非常多的操作,通常来说,在客户端中调用脚本属于高风险行为。您在使用脚本前,务必确认脚本安全可信,如果有条件,应该仔细阅读脚本代码。
特别需要注意:
如带有Cookie、Token、Password等等可以作为身份凭证的请求,这类请求比较敏感,务必确认请求的目标安全可信。理论上恶意脚本可以利用你的Cookie,进行非常多的行为,如发帖、购物等等。
对于修改响应体的脚本,必须确认修改响应体内容可信。通过对Http请求响应体的修改,可以在客户端上显示一些欺诈信息,例如显示一些虚假的中奖信息。
应慎重使用可以由远端控制修改响应体的脚本,此类脚本可能在当初检查时执行的结果是正常的,但是在某个时刻,可由远端控制修改响应内容。
对于本项目维护的脚本,全部开源,对安全性有疑虑可以仔细阅读源码。
当前仓库中含有部分引用其他仓库脚本的模块、插件、复写等等,因为其他仓库脚本的安全性不受本项目控制,在使用此类的脚本时,务必自行审查确认安全性。
不积跬步无以至千里