我通常会下载几个 jQuery 插件。 如何检查脚本是否正在窃取任何信息(例如用户 cookie、 session id..)并发送到其开发人员的服务器?
在 php 中,我们通过查找某些函数(system、passthru、shell_exec 等)来检查后门脚本。 JavaScript 中是否有此类类型的函数可以连接到其开发人员网站?
最佳答案
显然,您的第一步应该是阅读代码。您可以寻找许多明显的迹象,包括寻找代码中的 URL 以及任何加密的代码。
当然,某些代码可能过于复杂,无法使其成为现实的建议,特别是如果它被缩小和混淆,但应该可以扫描它。如果它执行类似的操作,它将使用与您自己的站点通信所用的相同函数(即 jQuery 的 ajax 函数),因此您不会看到引起怀疑的特定函数调用,但会在代码中看到可疑的 URL应该检查出来,并且绝对应该避免加密代码(混淆通常可以,但不加密)。
其次,在互联网上搜索其他人对该插件的评论。如果有什么不愉快的事情发生,其他人很可能会注意到。避免使用没有足够用户以某种方式获取任何评论的插件。
最后,使用 Firebug 等工具来监视在使用包含该插件的网站时发生的 HTTP 请求。如果它正在与基地通信,它就无法躲避你;浏览器的调试工具将很高兴地向您展示您需要了解的内容。
希望有帮助。
关于javascript - 我们如何找到尝试连接到其开发人员站点的已下载 jquery 插件?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10265957/