一个bookmarklet如何在没有交互的情况下自动运行？那是安全漏洞吗？

Question

昨天晚上，我一边听turntable.fm，一边寻找chrome的汽车扩展。我遇到了一个做同样事情的bookmarklet。让我犹豫的是，一个bookmarklet可以在我不做任何事情的情况下自动执行操作。它如何做到这一点呢？这是一个需要修复的安全漏洞吗？是什么阻止了某人使用密码嗅探器bookmarklet进行社交工程？

Answer 1

How To Use页面显示了这个由用户显式运行的书签小程序(当您输入按钮本身的ID时)，然后周期性地检查它何时可以将单击事件提升为“自动令人敬畏”。书签小程序是一个超链接，它有JavaScript而不是URL，所以如果用户不点击它，它就不能执行。

当你运行一个书签小程序(或者启动任何JavaScript )时，你实际上是在给代码权限，让它像你一样处理当前页面的内容。这对用户来说可能不是很清楚，但浏览器有不专门处理bookmarklet的历史，所以我不希望看到这种行为发生变化。

从理论上讲，可以编写一个bookmarklet来嗅探密码，但用户首先必须以某种方式在他们将要输入密码的页面上启动bookmarklet。这更多的是用户运行不可信代码的问题，而不是浏览器有安全漏洞的问题。