有人让我让他成为一个仪表板,在那里他可以看到管理他的网站的所有链接。他还想自动登录他点击的网站。
要做到这一点,我正在尝试为每个网址创建一个表单,并使用它发送用户名和密码值。我将它们作为变量回显,但是(当然)它们仍然可以在“inspect element”窗口的输入类型中看到。
我怎样才能使这个消失?因为这种方式不安全..
(旁边的问题:是否还有一种方法可以将target = _blank添加到此javascript中?
<a href="" onclick="document.forms[0].submit(); return false;"></a> )
答案 0 :(得分:2)
无法隐藏DOM检查器中的元素,这会破坏使用该工具的目的。
禁用javascript是绕过右键单击保护所需的全部内容。
你应该做的是implement a proper autologin。
最重要的是,不要将用户密码以纯文本形式回显到页面。
答案 1 :(得分:1)
如果你想要尽可能地花哨,那么你可以用某种方式提供数据,并在最后一分钟对其进行去除,并在其上运行eval。
虽然这意味着数据仍然可以在javascript调试器中完全显示。
除非你想得到幻想!!
如果您真的希望得到想象,那么可以在基于webkit的浏览器中获得ROP Chain代码执行, COULD 使用它来获得本机代码执行能力,一旦你有了这个,那么你可以让你的应用程序下载所需的变量并将它们注入无法通过大多数现代浏览器中内置的JS调试器调试的东西(或者只是禁用调试器)
当然,您可以随时在服务器中实现,与将用户锁定在自己的浏览器之外相比,它的工作量要小得多。
答案 2 :(得分:0)
你做不到。调试器专为调试HTML和Javascript而设计。
但您可以尝试禁用右键单击。
检查此链接
http://developersdigest.blogspot.in/2013/10/disable-inspect-elementsource-viewing.html
另一种方法是您可以使用会话来存储用户变量,因此只能在服务器端访问它。