程式師無所不能！你的信用卡帳號和密碼我都能拿到！不信你看！

有句來自 Google 金玉良言：

If an attacker successfully injects any code at all, it’s pretty much game over

如果攻擊者能成功注入任何程式碼，差不多就等於完蛋了

這些 request 會被我們的滲透測試人員會在 HTTP 監控工具裡面抓出來！

我在 GitHub 上面有看到你的程式碼！

你這麽天真可愛，

讓我感到一陣溫暖。

但很不幸的，我完全可以在 GitHub 上貼一個版本，而 npm 上面送的是另一個不同的版本。

所以你在 GitHub 上是找不到我的邪惡程式的。

fetch(document.location.href)
.then(resp => {
const csp = resp.headers.get(‘Content-Security-Policy’);
// does this exist? Is is any good?
});

總結

所以這篇文章的重點是什麽？只是想要找個人指著說「啊哈哈哈你看看你超 suck」嗎？

不，絕對不是（好吧，

一開始是，不過我後來發現自己也滿 suck 的，我就改變路線了）

我的目的（以結果來說）只是想要指出，任何裝了協力廠商的程式碼的網站都等於是開了一個大洞，而且完全偵測不到。

程式師很好玩，也很危險，切勿用於非法用途！否則後果自付！

如有侵權請聯繫小編刪除！