我想知道这是否可行以及如果可以的话会如何做。
我对浏览器如何呈现网页没有深入了解,所以我认为浏览器会下载HTML和JavaScript并开始渲染。是否有可能中断渲染,实质上是编辑/更改HTML和/或JavaScript?
也许有人可能会忘记所有外向文件,在本地保存它们,然后在本地运行它们。
在我看来,理论上听起来很可能,我想知道这对网络安全而言可能意味着什么。
修改
“谁”是在浏览器上查看网页的用户,假设从服务器到客户端的交付是安全的。
答案 0 :(得分:1)
是的,有可能。我正在使用charles(http://www.charlesproxy.com/documentation/tools/map-local/),但也可以使用apache / nginx代理完成。 您基本上必须假设最终用户可以更改浏览器中发生的所有事情。
答案 1 :(得分:0)
他们可能会以某种方式尽可能早地将Javascript代码注入到文档中(例如,在<head>之后,它将在页面的其余部分加载之前执行(某些广告软件使用它来显示其他横幅/弹出窗口)可以使用浏览器插件,某种代理或其他任何东西(大量的可能性)来完成,但使用https会删除其中的一些。如果是插件或代理,你甚至不需要JavaScript。至于Javascript它基本上能够修改文档显示的所有内容,除非浏览器阻止它(例如阻止修改显示某些https内容的嵌入式iframe)。