所以,这里是问题。
我有类似以下的东西:
// Dangerous __hostObject that makes requests bypassing
// the same-origin policy exposed from other code.
(function(){
var danger = __hostObject;
})();
delete __hostOBject;
如果没有脚本能够篡改或访问__hostObject
,我是否完全安全?(如果可以的话,我可能存在CSRF漏洞或更严重的问题。)
注1:这是针对浏览器扩展程序的。我的钩子比页面上运行的其他脚本更好。我在它们之前执行,并且在它们甚至加载完成之前就完成了。
注2:我知道这个问题已经被多次提出,针对一般脚本。我想知道如果我知道我在任何其他脚本之前加载,是否有可能。
Function.prototype.call
。(如果您真的认为我在帮助恶意开发人员,请随时标记此帖子。在我看来,最终的攻击者无论如何都会知道这些技术。) - ComFreekreturn
oldCall
的结果。但事实上,这是猴子补丁(内置)JavaScript方法所使用的一般原则。 - Rob W