Не знаю, заметили ли вы, что в последнее время я иногда копирую код в Chrome Devtools Когда вы его выполните, появится новый Warnning,Но у некоторых людей этого нет Warning , что происходит?

Общий смысл заключается в том, что выполняемый вами код может быть небезопасным, поэтому не копируйте его случайно...

Это довольно интересно. Есть ли что-нибудь небезопасное в коде, который я скопировал? Есть ли что-нибудь, о чем мне следует знать?

Это требует упоминания специального XSS Напали, вот что Self-XSS , то есть сам XSS Напал.

Как мы нападаем на самих себя? Здесь снова используется «социальная инженерия».

Злоумышленники обычно используют некоторые методы социальной инженерии, чтобы побудить разработчиков выполнять вредоносные сценарии в своих браузерах. В отличие от обычных атак с использованием межсайтовых сценариев (XSS), они не полагаются на уязвимости безопасности веб-сайта, а вместо этого фокусируются на использовании собственного возможного кода пользователя для выполнения действий.

Self-XSS Атаки обычно включают в себя злоумышленников, которые обманом заставляют разработчиков копировать и вставлять вредоносный код в браузер. DevTools Console в исполнении. Обычно это достигается обещанием какого-либо вознаграждения, которое может быть:

• Сообщите вам, что этот код позволяет вам получить доступ к скрытым функциям или получить виртуальные награды;
• Представьте, что код представляет собой тест безопасности или исправление ошибок;
• Позвольте мне сказать вам, что этот единственный код позволяет вам вторгаться в веб-сайт для получения определенных преимуществ.

Как только вы выполните этот код, злоумышленник сможет получить контроль над вашей учетной записью. Это позволяет злоумышленнику:

• Украсть вашу личную информацию, такую ​​как имя, адрес и номер кредитной карты;
• Публиковать несанкционированные сообщения или комментарии от вашего имени;
• Контролируйте свои учетные записи в социальных сетях;
• Распространять вредоносное ПО среди других пользователей.

Давайте подумаем об этом: когда мы видим на сайте фрагмент кода и хотим его опробовать, мы редко задумываемся о его безопасности.

Фактически, большое количество таких ложных кодов атак распространяется на некоторых сайтах социальных сетей, таких как известные зарубежные социальные сети. Facebook В течение некоторого времени пользователи часто подвергались такого рода атакам. Ожидается, что на сайте будет размещено предупреждение, напоминающее всем не выполнять код в сообщении по своему желанию:

Разрешить пользователям вставлять код в DevTools И тогда делать это действительно по своей сути рискованно. Но это также Chrome DevTools Одна из основных функций. Поэтому браузеры должны смягчать потенциальные Self XSS Найдите баланс между агрессивностью и невмешательством в работу разработчиков, которые просто хотят отладить сайт.

Разработчики веб-сайтов обычно вставляют код в DevTools Перед выполнением кода он дает приблизительное представление о назначении этого кода, поэтому некоторые пользователи веб-сайта, не понимающие код, становятся Self XSS Риск нападения на жертву гораздо выше.

Итак, в последнем обновлении, когда Chrome DevTools Обнаружен неопытный пользователь, пытающийся вставить код в DevTools , выполнение остановится и появится предупреждение.

Как определить, есть ли у вас опыт?？DevTools использует очень простую эвристику, чтобы решить, отображать ли Self XSS Внимание: оно основано на истории консоли профиля пользователя.

Если ваш профиль находится в DevTools В истории консоли есть как минимум 5 предметы,DevTools Не будет беспокоить вас никакими предупреждениями или всплывающими окнами. История консоли — это список команд, набранных и выполненных разработчиком в консоли.

Таким образом, вы очистите кеш браузера или откроете его на новом компьютере. Devtools Если вы выполните код, это предупреждение обязательно появится.

Вам придется ввести его вручную "allow pasting" Вы можете продолжать выполнять операцию, и после входа вам больше не будет напоминать.

Или если вы вставите код в другой DevTools редактор кода (например. Sources панель), пользовательский интерфейс очень похож, вы увидите диалоговое окно с предупреждением.

Вам все равно придется ввести в это диалоговое окно "allow pasting" чтобы продолжить выполнение кода.