phantomjs --web-security = no

Question

在phantomjs的文檔中，可以選擇關閉Web安全並允許XHR（跨域請求）。

如果您使用憑證（例如用戶名和密碼）填寫表格然後用casper/phantom下載屏幕截圖，是否會給用戶帶來安全風險？

Answer 1

也許吧。

允許跨域XHR打開了一些攻擊。例如。見https://stackoverflow.com/a/7615287/841830。又見Is CORS a secure way to do cross-domain AJAX requests?

但這往往不拿出正常使用情況下的幻影：你是否正在測試自己的網站，或者屏幕抓取，你往往要預先決定的網址和鏈接，並不發送祕密信息，也不會被新的和可疑的鏈接欺騙。在測試您的網站或搜索Google搜索結果時，您不太可能登錄到您的銀行或Facebook。 （但是，如果您正在拼圖谷歌頁面，迫使您先登錄Google，請稍微小心一點 - 可能會設置一個專門的gmail帳戶，以供您抓取。）

因此，總之，攻擊是一個與普通的桌面瀏覽會話相比，它有點模糊和不太可能，但它們仍然存在，所以只有當你的腳本無法使用時才使用--web-security=no。