Seguridad del JS inyectado — qué puede hacer realmente un snippet
El JavaScript inyectado es potente — se ejecuta con los plenos derechos de la página que visitas. Esto lo hace útil y, al mismo tiempo, digno de comprenderse. Este artículo explica qué puede hacer realmente un snippet y de quién fiarse.
Qué puede hacer el JS inyectado
El código de una regla se ejecuta en el contexto de la página — tiene el mismo acceso que los scripts propios de la página:
- Lee y modifica todo el DOM — incluidos los campos de los formularios y sus valores.
- Lee las cookies disponibles para el JS y el
localStoragede la página. - Envía peticiones
fetchen nombre de la página (dentro de los límites de su CSP).
Son exactamente las capacidades que hacen útiles a las reglas. Pero significa que ejecutar el snippet de otra persona ejecuta el código de otra persona con esos derechos.
Qué no puede hacer el JS inyectado
- No lee páginas de otros dominios — la política same-origin de la página se le aplica.
- No alcanza los archivos de tu disco ni las demás pestañas.
- No lee las cookies marcadas
HttpOnly— esas son invisibles para el JavaScript.
El principio de confianza — lee antes de pegar
Durante la importación de un bundle compartido, JustZix muestra un aviso si contiene JavaScript — y con razón. Una regla CSS como mucho estropeará el aspecto. Una regla JS puede leer lo que escribes en un formulario. Antes de ejecutar el snippet de otra persona:
- Léelo. Un snippet corto y legible se explica por sí solo.
- Desconfía del código ofuscado — nombres de variables aleatorios, largas cadenas base64,
eval. Un snippet honesto no tiene motivo para esconderse. - Desconfía de un
fetchque envía datos a una dirección ajena — es una potencial exfiltración.
JustZix en sí no espía
La extensión no tiene telemetría — no informa de qué páginas visitas ni de qué inyectas. El backend ve solo el hash de la clave de sincronización y los bundles de reglas cifrados. El riesgo no está en la herramienta — está en el código que eliges ejecutar tú mismo. Así que escribe las reglas tú mismo, o ejecuta solo las que entiendes.
Mira también
- Cómo funciona la sincronización — qué ve el backend y qué no
- Inyección y CSP — los límites del código inyectado
- JustZix para un equipo QA — compartir con criterio
Instala JustZix — y ejecuta solo código del que te fías.
Valora este artículo
Sin valoraciones — sé el primero.