- PVSM.RU - https://www.pvsm.ru -
Некоторые пользователи после запуска Developer Tools в браузере Chrome на сайте Facebook получают предупреждение [1] большими буквами: «Будьте осторожны! Эта функция браузера предназначена только для разработчиков».
С помощью такого сообщения Facebook хочет предотвратить выполнение кода в консоли неграмотными пользователями.
Автодополнение тоже заблокировано.
Раньше считалось, что консоль браузера невозможно заблокировать со стороны сервера, но Facebook пытается это сделать. Один из разработчиков Facebook объясняет [2]: это эксперимент, который действует для части аудитории Facebook. Дело в том, что в последнее время на Facebook участились случаи атаки типа self-XSS, когда злоумышленник методом социальной инженерии убеждают пользователей Chrome запустить вредоносный код в консоли. Для этого нужно, чтобы пользователь нажал буквально пару хоткеев (J, Ctrl-V) и Enter.
Как показано на видео, жертва своими руками осуществляет XSS. Чтобы защитить малограмотных пользователей, Facebook и пытается перехватить запуск консоли с помощью обращения к console._commandLineAPI
.
Object.defineProperty(console, '_commandLineAPI',
{ get : function() { throw 'Nooo!' } })
Автор: alizar
Источник [3]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/facebook/54824
Ссылки в тексте:
[1] получают предупреждение: https://stackoverflow.com/questions/21692646/how-does-facebook-disable-developer-tools
[2] объясняет: https://stackoverflow.com/a/21693931
[3] Источник: http://habrahabr.ru/post/212329/
Нажмите здесь для печати.