phantomjs --web-security=no
phantomjs --web-security=no
在 phantomjs 的文档中,有一个选项可以关闭网络安全并允许 XHR(跨域请求)。
如果您使用用户名和密码等凭据填写表单,然后使用 casper/phantom 下载屏幕截图,这是否会给用户带来安全风险?
也许吧。
允许跨域 XHR 会引发一些攻击。例如。见 . See also Is CORS a secure way to do cross-domain AJAX requests?
但这往往不会产生 Phantom 的正常用例:无论您是测试自己的网站还是屏幕抓取,您都倾向于访问预先确定的 URL 和 links ,并且不会发送秘密信息,也不会被新的可疑 link 欺骗。在测试您的网站或抓取 google 搜索结果时,您不太可能登录银行或 Facebook。 (但是,如果您正在抓取 google 强制您首先登录 Google 的页面,请多加小心 - 也许设置一个专门用于抓取的 gmail 帐户。)
因此,总而言之,与正常的桌面浏览会话相比,攻击更加隐蔽且不太可能发生,但它们仍然存在,因此只有在您的脚本无法运行时才使用 --web-security=no。
在 phantomjs 的文档中,有一个选项可以关闭网络安全并允许 XHR(跨域请求)。
如果您使用用户名和密码等凭据填写表单,然后使用 casper/phantom 下载屏幕截图,这是否会给用户带来安全风险?
也许吧。
允许跨域 XHR 会引发一些攻击。例如。见 . See also Is CORS a secure way to do cross-domain AJAX requests?
但这往往不会产生 Phantom 的正常用例:无论您是测试自己的网站还是屏幕抓取,您都倾向于访问预先确定的 URL 和 links ,并且不会发送秘密信息,也不会被新的可疑 link 欺骗。在测试您的网站或抓取 google 搜索结果时,您不太可能登录银行或 Facebook。 (但是,如果您正在抓取 google 强制您首先登录 Google 的页面,请多加小心 - 也许设置一个专门用于抓取的 gmail 帐户。)
因此,总而言之,与正常的桌面浏览会话相比,攻击更加隐蔽且不太可能发生,但它们仍然存在,因此只有在您的脚本无法运行时才使用 --web-security=no。