那些遇到过的问题

阻止脚本更改document.location.href?

use*_*986 2 javascript xss jquery

我刚刚浏览过的网站(cheezburger.com)显然存在漏洞,因为有人在<script>document.location.href="http://net-cheezburger.cu.cc/"</script>邮件中注入了一些内容.Firefox重定向到那里,X-Frame-Options停止了框架,导致空屏幕.

是否有其他方法可以阻止脚本在Firefox中工作,而不是在cheezburger网站上向document.location.href添加CAPS策略?这也阻止了合法的变化.现在我只是告诉Greasemonkey一个脚本在错误的地方,所以如果他们尝试其他恶意脚本,我立即知道发生了什么.

我想在网站本身修复之前暂时修复.

我想知道有没有办法以编程方式拦截该脚本或重定向.如果我已经正确理解你不能用Greasemonkey更改内联脚本但是还有其他选择吗?

Ren*_*non 10

由于您使用的是firefox(现代浏览器),因此可以使用Object.freezelocation对象转换为只读:

Object.freeze(document.location);

document.location.href = "http://google.com";
// No navigation happens

console.log(document.location.href);
// => "http://stackoverflow.com/questions/22290948/stopping-script-from-changeing-document-location-href"
Run Code Online (Sandbox Code Playgroud)

  • 在 Firefox 64.0 上,您无法使用“Object.freeze”,您会收到错误“TypeError:无法阻止此代理对象上的扩展”。 (3认同)

归档时间:

查看次数:

2194 次

最近记录:

11 年,11 月 前
相关归档
Click事件不适用于动态生成的元素 458
How to change the playing speed of videos in HTML5? 106
JavaScript嵌套函数 91
x> = JavaScript中的x模式 70
检查一个日期是否在两个日期之间(javascript) 61
Bootstrap开关检查事件? 32
jquery将外部html文件附加到我的页面中 31
如何使用jQuery删除空p标签? 25
JQuery .isNumeric 23
在github上设置一个演示页面 20
难疑归档
使用"let"和"var"在JavaScript中声明变量有什么区别? 4199
避免!= null语句 3904
在函数中使用全局变量 2939
喜欢构成而不是继承? 1538
如何使用Bash将stdout和stderr重定向并附加到文件中? 1440
为什么Java有瞬态字段? 1406
如何将键/值对添加到JavaScript对象? 1270
"this"关键字如何运作? 1243
如何从主机获取Docker容器的IP地址? 1221
如何让ASP.NET Web API使用Chrome返回JSON而不是XML? 1220