FacebookのChromeブラウザーで開発者ツールを起動した後、一部のユーザーには大文字の
警告が表示されます。 このブラウザ機能は開発者専用です。」
Facebookは、このメッセージを使用して、知識のないユーザーがコードをコンソールで実行するのを防ぎたいと考えています。
自動補完もブロックされます。
以前は、ブラウザコンソールをサーバー側からブロックすることはできませんでしたが、Facebookはこれを試みています。 Facebook開発者の1人が
説明してい
ます 。これは、Facebookの視聴者の一部のために機能する実験です。 実際、最近Facebookでは、攻撃者がChromeユーザーを説得し、ソーシャルエンジニアリング手法を使用してコンソールで悪意のあるコードを実行する自己XSS攻撃が頻繁に発生しています。 これを行うには、ユーザーが文字通りいくつかのホットキー(Ctrl + Shift + J)を押してEnterを押す必要があります。
ビデオに示すように、日曜大工の被害者はXSSを実装しています。 教育を受けていないユーザーを保護するために、Facebookは
console._commandLineAPIを呼び出してコンソールの起動をインターセプトしようとし
console._commandLineAPI 。
Object.defineProperty(console, '_commandLineAPI', { get : function() { throw 'Nooo!' } })