转载自油猴中文网:bbs.tampermonkey.net.cn
李恒道QQ4548212
油猴中文网bbs.tampermonkey.net.cn
TamperMonkey GreaseMonkey 油猴脚本 脚本交流 脚本分享
油猴脚本开发 油猴基础开发 油猴 油猴中文
公众号:叛逆青年旅舍
https://bbs.tampermonkey.net.cn/
本文为考古类文章,国内资料稀少,所以参考了大量的国外英语文章,由于本人的英语基础薄弱,以及编程能力有限,所以存在事实问题希望大家多多指教
初代油猴之殇
大概二十年前,早期油猴存在一个重大的安全漏洞,即默认所有的网页都是安全并且可靠的
当时的执行机制是在网页上创建一个script元素,插入到页面之中,当脚本执行完毕再删除元素来清理。
简洁的说就是将脚本插入到网页当中
这个机制看似完美,但其实暗藏了三个致命的漏洞
1.网站可以窃取脚本代码
当油猴插入脚本的时候会触发DOMNodeInserted事件
所以如果我们使用下列代码
document.addEventListener(“DOMNodeInserted”,function,true);
这样当油猴插入脚本的时候会触发网页的恶意代码,并且窃取油猴脚本的代码
2.网站可以越权使用GM函数
如果是普通网页的函数,一般没有办法跨越网站与其他地方进行通信,但是油猴的GM函数是极其强大的
早期的油猴脚本