我正在研究注入网页的代码(使用浏览器插件或脚本标签)。
问题是我们想要使用全局对象和变量,例如JSON,window.location,String.split等,并且这些实现可能已被网页更改。这可能会导致我们的代码失败,这是一个安全问题。
示例:
>>> String.prototype.split = function() { return 'foo'; };
function()
>>> 'a,b,c'.split(','); // gives unexpected result
"foo"
那么,有没有办法访问浏览器的对象和函数的默认实现,就像它们被更改之前一样?它不一定是标准的,我只是希望功能存在。
答案 0 :(得分:4)
或许更可行的方法是动态创建一个空的<iframe>。
这是一个在父窗口中污染String.prototype.split但从<iframe>获取干净的示例的示例。
<html>
<head>
<script type="text/javascript">
function onBodyLoad() {
String.prototype.split = function() { return 'foo'; }; // contaminate original window
console.log(String.prototype.split); // yeah, it's contaminated
var acr = document.getElementById("accessor");
acr.onclick = function ()
{
var dummyFrame = document.createElement("iframe");
document.body.appendChild(dummyFrame);
console.log(dummyFrame.contentWindow.String.prototype.split); // uncontaminated
}
}
</script>
</head>
<body onload="onBodyLoad()">
<a href="#" id="accessor">Access iframe Window object</a>
</body>
</html>
不是一般意义上的;虽然可能会有一些异国情调的黑客。
我能想到的唯一方法是确保在任何其他脚本之前加载代码。如果满足该要求,则可以将必要的全局变量克隆到安全位置。