浏览器插件跨源访问的安全性
最近在倒腾一些浏览器插件,是关于xx网盘的下载这块的,这边从百度网盘去下载一个文件,这边安装了这样的一个直链下载的插件,如下图红色框标明所示代码如下:由于这边不能把代码直接贴出来,又不能传附件,只能贴一个链接了:
https://greasyfork.org/zh-CN/scripts/436446-%E7%BD%91%E7%9B%98%E7%9B%B4%E9%93%BE%E4%B8%8B%E8%BD%BD%E5%8A%A9%E6%89%8B
但是从我这边理解,既然是按照油猴规范开源的,那就出现违规的代码的概率比较小。
这个装完以后,在网盘里下载的时候,点击一个协议下载,提示需要安装一个第三方的网盘万能 助手插件:
https://www.crxsoso.com/addon/detail/mphijdmblaalbakceeadippfkbgfgaaa
安装完以后,运行,油猴给出下面的提示:
但是从上面的提示来看,标签URL和目标URL似乎没有什么问题,但是会不会有些代码是后台执行的,比如收集使用者的信息,对设备造成威胁等情况,这块各位大佬有什么见解呢?
我也想知道这个答案,有懂的大佬解读了叫我一下
其次,可以用那个【直链下载助手(改)】这个别人修改的脚本,十分好用 我浏览器有时候也会出现这种情况不知道怎么回事。 代码都是公开的,你怀疑哪段代码贴出来,我说用了之后机器会爆炸也没人信。 这是因为浏览器对不同源的网络请求限制非常严格,举个例子
网站a的域名是 www.a.com 那么,假设这个网站没有设置任何允许跨域得配置,如果有人在这个网站里面写了一段代码,是请求www.b.com的资源来执行恶意代码,由于跨域的限制,浏览器会直接拒绝这个请求,所有的网络请求必须在www.a.com范围内,除非你把恶意文件上传到www.a.com得服务器内,而且跨域对于www.a.com和www.a.com:8080也是会block得,这也事被当做不同源的,具体可以自己搜一下跨域这个概念,我说的不是很完整。
我们拉回正题,就说你这个问题,跨域限制是浏览器产生的,油猴作为一个浏览器拓展,他是可以取消这种限制,自身去发生跨域请求的,那它里面的脚本也是可以的,不过需要在元数据提前告知,而且也会告知用户,将会请求到哪个站点,都是用户决定是否允许访问的,用户拒绝,他还是发不出去的,也就是你图看到的允许访问不允许访问什么的
啰嗦了一大段,其实就是这些脚本不可能在本地再写一套解析得代码,而且js功能也有限,毕竟在浏览器里面,肯定是从前台发请求给他们后台服务器,后台服务器处理好了,把搞出来的地址反馈回来,他们再在页面上进行展示,或者进行下一步操作 du盘有啥破解下载速度 sai609 发表于 2023-7-26 10:32
du盘有啥破解下载速度
我的一张图片的第一个插件据说是可以突破速度下载限制,但是我这边测试没有成功,因为motrix软件需要直接安装才能运行,我觉得太麻烦了,所以就没有测试了 jidesheng6 发表于 2023-7-26 07:30
这是因为浏览器对不同源的网络请求限制非常严格,举个例子
网站a的域名是 www.a.com 那么,假设这个网站 ...
有点硬,我先消化一下,感谢 zhuxiangyu1024 发表于 2023-7-26 07:04
代码都是公开的,你怀疑哪段代码贴出来,我说用了之后机器会爆炸也没人信。
我将下载的crx文件打开,到了这个文件下面,红色框标明的这段,感觉权限太大了,好像什么链接都可以通过 taotao1997 发表于 2023-7-26 13:05
有点硬,我先消化一下,感谢
很简单,看下面的图片
根据同源策略,浏览器内通过js访问非同源的地址,浏览器会直接报错,但是浏览器扩展是有参数可以取消这个限制的
页:
[1]
2