有人让我给他做一个仪表板,在那里他可以看到管理他的网站的所有链接。他还想自动登录他点击的网站。
为了做到这一点,我试图为每个url制作一个表单,并发送用户名和密码值。我将它们作为变量进行回显,但(当然)它们在"检查元素"窗口的输入类型中仍然可见。
我该怎么做?因为这样不安全。。
(附带问题:是否也有方法将target=_blank添加到此javascript?
<a href="" onclick="document.forms[0].submit(); return false;"></a> )
不可能向DOM检查器隐藏元素,这将破坏使用该工具的目的。
禁用javascript可以绕过右键单击保护。
你应该做的是实现一个正确的自动登录。
最重要的是,不要将用户密码以纯文本形式回显到页面。
如果你想尽可能地发挥作用,你可以以某种方式提供废弃的数据,并在最后一刻对其进行废弃处理和运行eval。
尽管这意味着数据在javascript调试器中仍然完全可见。
除非你想变漂亮!!
如果真的想获得幻想,那么就有可能在基于webkit的浏览器中获得ROP-Chain代码执行,可以使用它来获得本地代码执行能力,一旦你有了这些,你就可以让你的应用程序下载所需的变量,并将它们注入到大多数现代浏览器中无法通过JS调试器进行调试的东西中(或者只是禁用调试器)
当然,您总是可以在服务器中实现,这比将用户锁定在自己的浏览器之外要少得多。
您不能。调试器是为调试HTML和Javascript而设计的。
但您可以尝试禁用右键单击。
检查此链接
http://developersdigest.blogspot.in/2013/10/disable-inspect-elementsource-viewing.html
另一种方法是,您可以使用会话来存储用户变量,这样就只能在服务器端访问它。