那些遇到过的问题

在安装时在Greasemonkey脚本中存储用户登录/密码输入

Max*_*ask 12 javascript greasemonkey tampermonkey

我正在做一个Greasemonkey脚本,它通过REST API与Redmine票证管理器进行通信.由于用户需要登录才能从Redmine获取数据,我需要一种方法在脚本安装时询问用户的凭据并将其保存到脚本中.

这可以在不要求用户直接在脚本中编辑值的情况下实现吗?

编辑:
由于已经有了这个问题的答案,我将验证下面给出的答案,因为它是一个非常好的框架.

Bro*_*ams 12

这是一个获取和存储登录凭据的框架. 脚本会在第一次运行时提示输入信息并使用加密存储GM_setValue().

它还向Greasemonkey上下文菜单添加了两个项目,以允许更改用户名或密码.

// ==UserScript==
// @name     _Autologin, sensitive info framework
// @include  http://YOUR_SERVER.COM/YOUR_PATH/*
// @require  http://ajax.googleapis.com/ajax/libs/jquery/1.7.2/jquery.min.js
// @require  http://crypto.stanford.edu/sjcl/sjcl.js
// @grant    GM_getValue
// @grant    GM_setValue
// @grant    GM_registerMenuCommand
// ==/UserScript==

var encKey  = GM_getValue ("encKey",  "");
var usr     = GM_getValue ("lognUsr", "");
var pword   = GM_getValue ("lognPwd", "");

if ( ! encKey) {
    encKey  = prompt (
        'Script key not set for ' + location.hostname + '. Please enter a random string:',
        ''
    );
    GM_setValue ("encKey", encKey);

    usr     = pword = "";   // New key makes prev stored values (if any) unable to decode.
}
usr         = decodeOrPrompt (usr,   "U-name", "lognUsr");
pword       = decodeOrPrompt (pword, "P-word", "lognPwd");


function decodeOrPrompt (targVar, userPrompt, setValVarName) {
    if (targVar) {
        targVar     = unStoreAndDecrypt (targVar);
    }
    else {
        targVar     = prompt (
            userPrompt + ' not set for ' + location.hostname + '. Please enter it now:',
            ''
        );
        GM_setValue (setValVarName, encryptAndStore (targVar) );
    }
    return targVar;
}

function encryptAndStore (clearText) {
    return  JSON.stringify (sjcl.encrypt (encKey, clearText) );
}

function unStoreAndDecrypt (jsonObj) {
    return  sjcl.decrypt (encKey, JSON.parse (jsonObj) );
}

//-- Add menu commands that will allow U and P to be changed.
GM_registerMenuCommand ("Change Username", changeUsername);
GM_registerMenuCommand ("Change Password", changePassword);

function changeUsername () {
    promptAndChangeStoredValue (usr,   "U-name", "lognUsr");
}

function changePassword () {
    promptAndChangeStoredValue (pword, "P-word", "lognPwd");
}

function promptAndChangeStoredValue (targVar, userPrompt, setValVarName) {
    targVar     = prompt (
        'Change ' + userPrompt + ' for ' + location.hostname + ':',
        targVar
    );
    GM_setValue (setValVarName, encryptAndStore (targVar) );
}

// ADD YOUR CODE TO SET THE USERNAME AND PASSWORD ON THE LOGIN PAGE, HERE.
Run Code Online (Sandbox Code Playgroud)

重要:

  1. 使用用户脚本登录始终存在风险.
  2. 这个框架大大降低了风险,但可用的Greasemonkey和Tampermonkey的存储机制并不安全,浏览器厂商CYA对存储的机密信息.如果坏人同时获得您的用户名浏览器数据,那么他可以对您的密码进行反向工程.当然,如果他有这个,他最有可能是你的一台机器.
  3. 聪明的做法是使用密码管理器LastPass的,KeePass的,等等.
  4. 绝对最糟糕的事情是将凭证存储在用户脚本中.即使是客人也可以看到他们然后你会被"黑客攻击",保证.

  • 我确信这是非常不安全且不好的做法,因为加密密钥以明文形式存储在加密值旁边。[`chrome.storage`,其中 `GM_setValue()` 在 TamperMonkey 中实现,文档](https://developer.chrome.com/extensions/storage#using-sync) 明确指出不应存储敏感数据。在这种情况下,加密密钥是敏感数据,并且将加密文本有效地呈现为明文。 (2认同)

归档时间:

查看次数:

3355 次

最近记录:

7 年,11 月 前
使用Greasemonkey脚本跨域的本地存储 6
更多相关链接
相关归档
使用JavaScript检测"触摸屏"设备的最佳方法是什么? 392
我如何解决JavaScript的parseInt八进制行为? 280
iOS 8删除了"minimal-ui"视口属性,还有其他"软全屏"解决方案吗? 185
电子邮件中是否支持JavaScript? 125
为什么JavaScript没有最后一种方法? 124
我使用babel时是否需要js? 90
JavaScript数组rotate() 65
React Hook在useEffect中使用async函数的警告:useEffect函数必须返回一个清理函数或什么也不返回 59
如何使用javascript获取当前的html页面标题 53
在javascript中的毫秒时间 51
难疑归档
如何将命令行参数传递给Node.js程序? 2280
jQuery滚动到元素 2196
在终端上打印颜色? 1929
Python join:为什么是string.join(list)而不是list.join(string)? 1669
我为什么要使用指针而不是对象本身? 1532
将文件从主机复制到Docker容器 1391
enctype ='multipart/form-data'是什么意思? 1290
迭代集合,在循环中删除对象时避免使用ConcurrentModificationException 1158
在拉动期间解决Git合并冲突以支持其更改 1104
删除目录的符号链接 1063