RU

← Все статьи

Гайды

Безопасность внедрённого JS — что сниппет реально может сделать

· автор JustZix Team

Внедрённый JavaScript мощен — он выполняется с полными правами страницы, которую ты посещаешь. Это делает его полезным и одновременно достойным понимания. Эта статья объясняет, что сниппет реально может сделать и кому доверять.

Что может внедрённый JS

Код правила выполняется в контексте страницы — у него тот же доступ, что у собственных скриптов страницы:

Это ровно те возможности, которые делают правила полезными. Но это значит, что выполнение чужого сниппета выполняет чужой код с этими правами.

Чего не может внедрённый JS

Принцип доверия — читай перед вставкой

При импорте разделяемого бандла JustZix показывает предупреждение, если он содержит JavaScript — и не зря. CSS-правило в худшем случае испортит внешний вид. JS-правило может прочитать то, что ты печатаешь в форме. Перед выполнением чужого сниппета:

JustZix сам не шпионит

У расширения нет телеметрии — оно не сообщает, какие страницы ты посещаешь и что внедряешь. Бэкенд видит только хеш ключа синхронизации и зашифрованные бандлы правил. Риск не в инструменте — он в коде, который ты сам выбираешь выполнить. Поэтому пиши правила сам, или выполняй только те, что понимаешь.

Смотри также

Установи JustZix — и выполняй только код, которому доверяешь.

securityjavascripttrustguide

Оцени эту статью

Оценок пока нет — оцени первым.

Смотрите также

Гайды

Output Console / Network — новые фильтры доменов и экспоненциальные ползунки

Полная перестройка вкладки Network в Output Console: два поля доменов с поддержкой множества записей через «|», Alt+клик для мгновенного добавления, экспоненциальные ползунки с полями ввода, изменяемая ширина колонок DataLayer, сокращение длинных URL.

Попробуй сам

Установи JustZix и вставь любой сниппет из этой статьи. Две минуты от нуля до работающего правила на всех твоих устройствах.

Получить JustZix

Возможности · Как это работает · Примеры · Применение