Что такое DOM Snitch?
ДОМ снитч экспериментальная расширение Chrome, который позволяет тестеры не связанные с безопасностью выявить общие плохие практики при производстве клиентский код и тестеры безопасности получить лучшее понимание тех преобразований, которые происходят в DOM.
Текущие возможности
Возможность слушать модификации DOM и собирать отладочные данные о тех изменениях
Возможность сортировки и группа собранную информацию в качестве средства для упрощения процесса анализа этих данных
Возможность пассивно обнаруживать и знак как ошибки или предупреждения некоторых легко обнаружить проблемы безопасности, в том числе:
Использование контролируемых пользователем данных, что происходит либо из URL, ссылающейся, или печенье, а построения DOM, где данные также проверяются на содержащий HTML-управляющих символов (т.е. "")
Использование скриптов, которые не размещаются на домене приложения
Использование скриптов, которые привели бы к ошибкам смешанных контента
Использование неправильного синтаксиса JSON, в результате использования Eval (), в отличие от гораздо более безопасной альтернативой функции (например, JSON.parse ())
Назначения document.domain ни к чему, но первоначальной стоимости хоста приложения (в данном браузером во время рендеринга)
Возможность экспортировать все или подмножества собранных данных в виде простого текста или через Google Docs
Комментарии не найдены