垃圾邮件能否使用/查看JavaScript？

Question

3

我的问题很明显。垃圾信息（我指的是博客垃圾信息）能否利用我网站上的JavaScript？

例如，“Laravel”需要在表单上使用 csrf 代码。如果我将 csrf 代码作为 JavaScript 变量传递并使用 jQuery append 方法将代码附加到表单中，那么垃圾信息是否能够提交表单？

- Hüseyin Dursun

1

“spam”是什么意思？如果您是网站所有者，那么它可能是您博客的广告或者可能是一些XSS攻击。后者具有恶意行为，但前者相对安全。另外，为了确保所有垃圾邮件都不是XSS，请务必小心。 - georoot

@georoot，我对垃圾邮件不是很了解。我正在开发一个CMS，用户可以注册并发布博客、评论等。我知道有一个社交网络脚本，很多垃圾邮件注册并发布博客（正如你所提到的广告）。有时候即使是验证码也无法阻止它们。我只是不希望我的脚本允许这样的垃圾邮件存在。 - Hüseyin Dursun

1

好的，你所说的基本上是指机器人。它们对你的网站并没有任何危害，除了造成内容混乱。同时请注意，如果没有防范跨站脚本攻击（XSS），它们无法访问你的JavaScript代码，这是脚本儿童最常见的攻击手段。 - georoot

垃圾邮件通常是一段文本。据我所知，广告文本没有眼睛或内置解析器。我想你指的是垃圾邮件机器人 :) - Rob

最终，你可以创建一个由人工智能驱动的机器人，它自己在合法的机器上使用合法的浏览器到处散布垃圾邮件。不太可能？当然，但并非不可能。与常规垃圾邮件机器人一样：有些机器人能够评估JavaScript，但不是全部。 - John Weisz

2个回答

1

所以，我们的公司一直在开发针对网站的反垃圾邮件技术，我可以说大约30%的垃圾邮件机器人能够使用JavaScript。

- AlexRazoR

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Gabriel · Accepted Answer

当然，由于源代码在客户端上，他们可以运行它，在运行之前更改它，或者反向工程它并直接填充所需值的表单字段。这就是为什么任何垃圾邮件保护机制总是需要一个服务器端部分。否则你只是让它更难以破解... 也就是说，考虑一下结果是否值得反向工程您的垃圾邮件保护。