有句來自 Google 金玉良言:
If an attacker successfully injects any code at all, it’s pretty much game over
如果攻擊者能成功注入任何程式碼, 差不多就等於完蛋了
這些 request 會被我們的滲透測試人員會在 HTTP 監控工具裡面抓出來!
我在 GitHub 上面有看到你的程式碼!
你這麽天真可愛, 讓我感到一陣溫暖。
但很不幸的, 我完全可以在 GitHub 上貼一個版本, 而 npm 上面送的是另一個不同的版本。
所以你在 GitHub 上是找不到我的邪惡程式的。
.then(resp => {
const csp = resp.headers.get(‘Content-Security-Policy’);
// does this exist? Is is any good?
});
總結
所以這篇文章的重點是什麽?只是想要找個人指著說「啊哈哈哈你看看你超 suck」嗎?
不,絕對不是(好吧,一開始是,不過我後來發現自己也滿 suck 的,我就改變路線了)
我的目的(以結果來說)只是想要指出,任何裝了協力廠商的程式碼的網站都等於是開了一個大洞,而且完全偵測不到。
程式師很好玩,也很危險,切勿用於非法用途!否則後果自付!
如有侵權請聯繫小編刪除!
.then(resp => {
const csp = resp.headers.get(‘Content-Security-Policy’);
// does this exist? Is is any good?
});
總結
所以這篇文章的重點是什麽?只是想要找個人指著說「啊哈哈哈你看看你超 suck」嗎?
不,絕對不是(好吧,一開始是,不過我後來發現自己也滿 suck 的,我就改變路線了)
我的目的(以結果來說)只是想要指出,任何裝了協力廠商的程式碼的網站都等於是開了一個大洞,而且完全偵測不到。
程式師很好玩,也很危險,切勿用於非法用途!否則後果自付!
如有侵權請聯繫小編刪除!