將腳本注入其他人的域名最簡單的方法是什麼？

Question

例如，如果我在www.facebook.com上，我想注入一個腳本來分析他們的DOM？一種方法是打開控制檯，比使用類似

document.createElement('script'); 

，然後設置src屬性等

這是做的最好的方法是什麼？

Answer 1

如果你想檢查某人的DOM，它可能是最容易使用JS控制檯或調試器（如果您的瀏覽器提供它本身或者作爲附加像螢火蟲）。

您可以使用像Burp或ZAP這樣的代理服務器攔截來自網站的響應並注入您自己的JavaScript。

您可以使用網絡爬蟲複製網站。您應該首先獲得許可，確保您不違反服務條款，並確保您有足夠的空間。然後，你可以與該網站你的心臟的內容:)

作爲另一種選擇玩，你可以使用像XSSshell發動機，裝載您想要在XSSshell檢查網站泄露的網絡瀏覽器，然後加載你想代碼加載到XSSshell。

或者，您可以設置您自己的DNS服務器，指定foo.facebook.com等本地IP地址，但其他所有內容爲facebook.com。根據FB如何管理他們的網站（新的HTTP標頭，cookie路徑），您可以在瀏覽FB時從本地服務器運行JavaScript。

如果你確實真的想編寫在REAL網站上下文中執行的代碼，而不僅僅是一個副本，並且你不關心違反法律，你需要找到一個跨站點腳本漏洞。這也可以讓你將自己的JavaScript加載到目標服務器的執行環境中。我不建議這一個 - 至少，不是如果不合法擁有目標環境:)

Answer 2

我建議編寫一個瀏覽器插件，因爲這實際上是瀏覽器允許代碼只被「注入」到頁面中的唯一方式。有一個瀏覽器插件，我認爲它叫做「Better Facebook」或類似的東西，這樣做會在頁面加載後對DOM進行掃描，並對其進行分析+修改（以使其「更好」）

http://developer.chrome.com/extensions/getstarted.html

https://developer.mozilla.org/en-US/docs/Building_an_Extension

http://www.techradar.com/us/news/internet/the-beginner-s-guide-to-greasemonkey-scripting-598247

Answer 3

您應該檢查這個Firefox插件：

https://addons.mozilla.org/pl/firefox/addon/greasemonkey/

它允許你運行你網站上的JavaScript代碼。