网站可以知道我是否正在运行用户脚本?

时间:2011-12-17 21:46:56

标签: javascript facebook greasemonkey userscripts tampermonkey

例如,Facebook.com可以在我的浏览器上运行版本控制脚本,并查看我是否使用脚本运行更改的HTML代码?

这可以通过一个脚本来完成,该脚本可以读取缓存中的HTML代码并生成某种散列标记,该标记被发送回服务器并与发送给客户端的代码进行比较吗?

2 个答案:

答案 0 :(得分:21)

是的,从理论上讲,网站可以在各种情况下推断出脚本的存在。

这不是万无一失的,对于网站上可忽略不计的“威胁”来说通常是太麻烦了。 (然而,一些网站管理员可能会对这些事情产生强迫症。))。

一些方法,取决于脚本的作用(没有特定的顺序):

  1. 游戏或竞价网站可以监控“出价”点击的时间(速度和规律性)。

  2. 网站可以AJAX支持所谓的<script>节点的数量,寻找额外内容。

  3. 同样,网站可以AJAX支持页面的任何或所有内容,并将其与预期值进行比较。

  4. 可以注意到额外的AJAX调用或不符合隐藏要求的AJAX调用(并且允许它们显示成功)。

  5. 如果脚本以正确(错误)方式使用unsafeWindowa page can detect that and even hijack (slightly) elevated privileges

  6. 可以检测到没有鼠标悬停事件之前的“点击”。我实际上已经看到过这种情况在野外使用。

  7. A page's javascript can often detect script-generated clicks (etc.)与用户生成的不同。 (谢谢,c69,提醒。)

  8. 但最终,优势在于用户编写者。可以在用户端检测和阻止网页采取的任何对策。即使是定制的,必需的插件或所需的硬件加密狗也可能被熟练和积极的用户所颠覆。

答案 1 :(得分:5)

更新:自Greasemonkey 3.3起,以下方法完全失效。



参见(死链接) How-to Detect Greasemonkey

Javascript检测GM是否已安装(但不是脚本是否实际在该页面上运行):

已过时的选项1:

if (Components.interfaces.gmIGreasemonkeyService) {
  alert("I smell a monkey!");
}


已过时的选项2:

<script type="text/javascript" src="resource://greasemonkey/addons4.js"></script>
<script type="text/javascript">
if (typeof GM_addonsStartup !== "undefined") {
  alert("I smell a monkey!");
}
</script>