我在 Tampermonkey 上为自己编写了一些快速用户脚本,但我通常从不使用 Javascript,而且我担心安全性。如果我是唯一使用该代码的人,我还需要花时间确保其安全吗?
例如,我读到过有关innerHTML 是潜在攻击媒介的内容。如果我只在我的私人计算机上为自己使用它,这(以及类似的事情)仍然是一个问题吗?
我四处寻找有关用户脚本风险的信息,但它大多只是警告其他人编写的用户脚本。我确实发现有人提到恶意网站可能会利用编写不当的用户脚本。我确实将脚本限制在特定的合法网站上(尽管我知道网站仍然有可能被黑客入侵)。
基本上,我只是想判断风险程度,但这不是我熟悉的领域,而且信息似乎不容易获得。
没有人能真正为你解答这个问题。
这就像问你是否打开汽车引擎盖并开始摆弄东西是否会让你的汽车变得危险。也许你添加一些 LED 或其他东西......这几乎不是一件危险的事情,而且是业余爱好者一直在做的事情。另外,无论如何,这只是你的车。好吧,也许在上下文中,工厂的接线存在问题,您的接线会使情况变得更糟。也许这个问题只有在长时间振动或其他一些情况后才会出现。所以,是的,你让你的汽车变得不那么安全了,但谁知道这是否是可预测的风险。
我们不知道您知道或不知道什么,或者您正在修改什么、在哪里修改,以及将来会发生什么。
我们能说的是,在你的工作中始终遵循合理的最佳实践。如果您只是编辑字段的文本,请使用
textContent
而不是 innerHTML
...如果可以避免特殊字符被吞没为 HTML 实体。