注入javascript代码的正确方法?
我想创建一个具有类似功能的网站,如或有:用户可以输入任何地址和网站打开一个额外的菜单。我想这是通过一些中间件代理解决方案完成的,并且在响应中注入了javascript,但我不确定。您知道如何实现相同的功能吗?它如何与安全(https)站点协同工作注入javascript代码的正确方法?,javascript,web,proxy,Javascript,Web,Proxy,我想创建一个具有类似功能的网站,如或有:用户可以输入任何地址和网站打开一个额外的菜单。我想这是通过一些中间件代理解决方案完成的,并且在响应中注入了javascript,但我不确定。您知道如何实现相同的功能吗?它如何与安全(https)站点协同工作 非常感谢服务器获取整个站点,解析源代码,注入代码,然后发送回请求客户端 它与SSL配合得很好,因为它是两个独立的请求——发送到端点的请求没有被用户看到 证书是有效的,因为它是在谷歌的域名下提供的 为了实际实现类似的功能,可能会非常复杂,因为: 您正在
非常感谢服务器获取整个站点,解析源代码,注入代码,然后发送回请求客户端 它与SSL配合得很好,因为它是两个独立的请求——发送到端点的请求没有被用户看到 证书是有效的,因为它是在谷歌的域名下提供的 为了实际实现类似的功能,可能会非常复杂,因为:
- 您正在解析的HTML不一定符合您的期望,甚至不一定有效
- 您转发给客户端的内容很可能引用具有相对URI的资源。这意味着您还需要截获这些请求并提取资源(图像、外部css、js等),然后将它们服务回客户机,还需要重写URL
- 通过注入任意javascript很容易破坏内容。您需要注意的是,注入的代码是包含的,并且不会干扰站点上的任何现有代码
- 像这样的实现通常会有不明显的安全问题,这通常会导致XSS攻击成为可能