Javascript xss-绑定事件
使用我网站中的Button1,我可以通过开发工具控制台(el=document.getElementById(“Button1”);el.addEventListener(“单击”,someFunction);)向其添加事件。有没有办法使我的网站更安全,这样一旦网站发布就不能添加事件。谢谢大家! 没有 到达浏览器后,页面将由浏览器控制 浏览器为用户而不是页面作者工作。否 到达浏览器后,页面将由浏览器控制Javascript xss-绑定事件,javascript,security,xss,Javascript,Security,Xss,使用我网站中的Button1,我可以通过开发工具控制台(el=document.getElementById(“Button1”);el.addEventListener(“单击”,someFunction);)向其添加事件。有没有办法使我的网站更安全,这样一旦网站发布就不能添加事件。谢谢大家! 没有 到达浏览器后,页面将由浏览器控制 浏览器为用户而不是页面作者工作。否 到达浏览器后,页面将由浏览器控制 浏览器为用户工作,而不是为页面作者工作。我无法禁用开发工具 你应该考虑DOM可以被操纵,并为
浏览器为用户工作,而不是为页面作者工作。我无法禁用开发工具
<>你应该考虑DOM可以被操纵,并为此添加安全性。尤其是后端不应该盲目地信任传入的请求。不仅仅是XSS。我认为没有办法禁用开发工具
<>你应该考虑DOM可以被操纵,并为此添加安全性。尤其是后端不应该盲目地信任传入的请求。不限于XSS。为了防止您仍然对此感到担忧,您需要记住,一旦用户打开您的网站,他只有一个本地副本。他可以做任何他想做的事情,比如添加按钮、添加脚本,他甚至可以将其转换为非法网站,但这仍然无关紧要,因为这只是一个本地副本,所以他是唯一一个有这些更改的人,一旦他刷新网站,所有这些更改都将消失 如果你想要一个例子,你甚至可以用开发工具修改NASA的网站,这并不意味着它不安全 当然,您需要在编写代码时考虑所有这些因素,因为这意味着您根本无法信任用户输入。如果javascript中有验证,还需要在后端进行验证,因为正如您所看到的,任何人都可以覆盖该验证
编辑:只是为了澄清一些事情。XSS是指注入会影响其他用户的代码。例如,通过URL注入javascript,任何使用该URL的用户都将执行该javascript,或者通过注释表单注入javascript,现在每个阅读该注释的用户都将执行该javascript。但是,如果你是唯一一个可以访问该脚本的人,就像开发工具一样,那么这不是XSS漏洞,而是web浏览器按照预期的方式工作。为了防止你仍然对此感到担心,你需要记住,一旦用户打开你的网站,他只有一个本地副本。他可以做任何他想做的事情,比如添加按钮、添加脚本,他甚至可以将其转换为非法网站,但这仍然无关紧要,因为这只是一个本地副本,所以他是唯一一个有这些更改的人,一旦他刷新网站,所有这些更改都将消失 如果你想要一个例子,你甚至可以用开发工具修改NASA的网站,这并不意味着它不安全 当然,您需要在编写代码时考虑所有这些因素,因为这意味着您根本无法信任用户输入。如果javascript中有验证,还需要在后端进行验证,因为正如您所看到的,任何人都可以覆盖该验证 编辑:只是为了澄清一些事情。XSS是指注入会影响其他用户的代码。例如,通过URL注入javascript,任何使用该URL的用户都将执行该javascript,或者通过注释表单注入javascript,现在每个阅读该注释的用户都将执行该javascript。但是,如果您是唯一一个可以访问该脚本的人,就像开发工具一样,那么它不是XSS漏洞,只是web浏览器按照预期的方式工作