例如,如果我在www.facebook.com上,我想注入一个脚本来分析他们的DOM?一种方法是打开控制台,而不是使用像
这样的东西document.createElement('script');
然后设置src属性等。
这是最好的方法吗?
答案 0 :(得分:4)
如果您正在尝试检查某人的DOM,那么最简单的方法就是使用JS控制台或调试器(如果您的浏览器本身提供它或者像firebug那样添加它)。
您可以使用代理服务器(如Burp或ZAP)拦截来自网站的响应并注入您自己的JavaScript。
您可以使用网络抓取工具复制网站。您应首先获得许可,确保您不违反服务条款,并确保您有足够的空间。然后你可以根据自己的内容玩网站:)
作为另一种选择,您可以使用XSSshell之类的引擎,在XSSshell受感染的Web浏览器中加载要检查的网站,然后将要加载的代码加载到XSSshell中。
或者,您可以设置自己的DNS服务器,为foo.facebook.com指定本地IP地址,但其他所有内容均为facebook.com。根据FB管理其站点的方式(新的HTTP标头,cookie路径),您可以在浏览FB时从本地服务器运行JavaScript。
如果你真的,真的想编写在相关REAL网站的上下文中执行的代码,而不仅仅是副本,并且你不关心违反法律,你需要找到一个跨站点脚本漏洞。这也允许您将自己的JavaScript加载到目标服务器的执行环境中。我不推荐这个 - 至少,如果你没有合法拥有目标环境,那就不行了。)
答案 1 :(得分:2)
我建议编写一个浏览器插件,因为这实际上是浏览器允许代码注入"的唯一方式。进入页面。有一个浏览器插件,我认为它被称为"更好的Facebook"或类似的东西,这样做,在页面加载后扫描DOM并分析+修改它(为了使它"更好")
http://developer.chrome.com/extensions/getstarted.html
https://developer.mozilla.org/en-US/docs/Building_an_Extension
http://www.techradar.com/us/news/internet/the-beginner-s-guide-to-greasemonkey-scripting-598247
答案 2 :(得分:2)