他为什么可以直接调用网页上的JS函数?

有的浏览器带插件,可以自己添加功能,写一个HTML,然后添加到插件里,插件是访问web页面后运行,实现调用web页面里JS函数和修改表单值等功能 
请问这种插件是什么原理,有没有什么办法避免这种插件的调用? 很难回答所以分多
加密我试过了没用,用户可以任意修改函数参数,很头疼

解决方案 »

  1.   

    script 是在客户端执行的没有办法去完全阻止用户干预 script 的执行一些重要的东西,交由服务器处理吧
      

  2.   

    嵌入js攻击 很常见 ,但是没见过,谁敢做成浏览器插件的,服务器已发送数据和js代码到客户端(浏览器),客户端在修改这些代码,确实可以,就不说插件,我们手工保存网页,在修改就可以运行,我看没办法,一些关键性东西,写在服务器吧!!!
      

  3.   

    客户端的东西确实靠不住,但用flash安全性能稍微提高点,毕竟分析二进制比分析html麻烦多了
      

  4.   

    有点象在地址栏直接运行脚本,只要把收藏里的页面地址改为 javascript: …… 即可作为脚本工具使用。用户可以根据自己的需要:
    改变文本/背景颜色……
    清除障碍,如:右键/复制粘贴的屏蔽,漂移层/遮盖层,状态栏的链接地址……
    替换写入自己的源码……