是否可以记录在浏览器控制台中输入的文本?

时间:2015-11-06 06:08:48

标签: javascript jquery dom xss

我创建了一个函数/对象(函数和对象在Javascript中是一样的)

function KeyLogger () {

    this.log = '';

    // http://www.cambiaresearch.com/articles/15/javascript-char-codes-key-codes
    this.keymap = {
        8: 'backspace', 9: 'tab', 13: 'enter', 16: 'shift', 17: 'ctrl', 18: 'alt', 19: 'pause/break',
        20: 'caps lock', 27: 'escape', 33: 'page up', 34: 'page down', 35: 'end', 36: 'home', 37: 'left arrow',
        38: 'up arrow', 39: 'right arrow', 40: 'down arrow', 45: 'insert', 46: 'delete', 48: '0', 49: '1',
        50: '2', 51: '3', 52: '4', 53: '5', 54: '6', 55: '7', 56: '8', 57: '9', 65: 'a', 66: 'b', 67: 'c',
        68: 'd', 69: 'e', 70: 'f', 71: 'g', 72: 'h', 73: 'i', 74: 'j', 75: 'k', 76: 'l', 77: 'm', 78: 'n',
        79: '0', 80: 'p', 81: 'q', 82: 'r', 83: 's', 84: 't', 85: 'u', 86: 'v', 87: 'w', 88: 'x', 89: 'y',
        90: 'z', 91: 'left window key', 92: 'right window key', 93: 'select key', 96: 'numpad 0', 97: 'numpad 1',
        98: 'numpad 2', 99: 'numpad 3', 100: 'numpad 4', 101: 'numpad 5', 102: 'numpad 6', 103: 'numpad 7',
        104: 'numpad 8', 105: 'numpad 9', 106: 'multiply', 107: 'add', 109: 'subtract', 110: 'decimal point',
        111: 'divide', 112: 'f1', 113: 'f2', 114: 'f3', 115: 'f4', 116: 'f5', 117: 'f6', 118: 'f7', 119: 'f8',
        120: 'f9', 121: 'f10', 122: 'f11', 123: 'f12', 144: 'num lock', 145: 'scroll lock', 186: 'semi-colon',
        187: 'equal sign', 188: 'comma', 189: 'dash', 190: 'period', 191: 'forward slash', 192: 'grave accent',
        219: 'open bracket', 220: 'back slash', 221: 'close bracket', 222: 'single quote'
    };

    this.addKey = function (k) {
        // k : key code
        if (k in this.keymap) this.log += this.keymap[k] + ' ,';
    }

    this.clearLog = function () {
        this.log = '';
    }
 }

记录键入的键。这是我网站上的安全措施。当然,我主要对在控制台中键入的内容感兴趣。由于我花了很长时间手动写出his.keymap,我希望我没有浪费时间。但是当我测试我的页面并在控制台中键入内容时,它没有被记录,而如果我点击body本身并输入,则会记录它。有没有办法把东西输入控制台????

1 个答案:

答案 0 :(得分:0)

Rajesh类似,浏览器中运行的Javascript代码范围限定在窗口中。由于控制台与窗口分开运行,因此您的Javascript无法直接访问它。

所以不,不可能将用户输入的文本记录到他们的Javascript控制台中。

话虽如此,如果用户从控制台调用函数,并且您有机会覆盖这些函数,那么您可以了解一下用户正在做什么。

作为概念验证,请将以下Javascript添加到页面中:

var myLog = "";

var realSetTimeout = window.setTimeout;

window.setTimeout = function(a, b){
    myLog += "setTimeout was called from " + (new Error).stack + "\n";
    myLog += "with arguments: " + a + " and " + b + "\n";

    return realSetTimeout.apply(this, arguments);
};

现在,如果用户要从他们的控制台运行setTimeout(function)({ test; }, 1000);,那么您的myLog变量将包含以下内容:

<强>铬 

setTimeout was called from Error
    at window.setTimeout (<anonymous>:3:51)
    at <anonymous>:2:1
    at Object.InjectedScript._evaluateOn (<anonymous>:875:140)
    at Object.InjectedScript._evaluateAndWrap (<anonymous>:808:34)
    at Object.InjectedScript.evaluate (<anonymous>:664:21)
with arguments: function (){ test; } and 1000

<强>火狐 

setTimeout was called from window.setTimeout@debugger eval code:2:51
@debugger eval code:1:1
with arguments: function (){ test; } and 1000

(当然上面的代码也会记录对普通页面脚本的setTimeout的每次调用!所以你可能只想记录那些匹配堆栈跟踪的那些。)

因此,如果用户调用函数,实际上可能会监视用户的控制台命令。

也许使用getter你也可以监视属性访问。

您的用户是否会感谢您这样做,或者您是否会从中获取任何有用的信息,这是另一回事!

相关问题
最新问题