幻影--网络安全=否

Question

在幻影文档中，有一个选项可以关闭web安全并允许XHR (跨域请求)。

如果您用用户名和密码等凭据填充表单，然后用casper/幻影下载屏幕截图，这会给用户带来安全风险吗？

Answer 1

也许吧。

允许跨域XHR会引发一些攻击。参见https://stackoverflow.com/a/7615287/841830。另见Is CORS a secure way to do cross-domain AJAX requests?

但是这并没有为幻影提供正常的用例:无论你是在测试你自己的网站，还是在进行屏幕抓取，你都倾向于使用预先决定的网址和链接，而不是发送机密信息，也不会被一个新的可疑链接所欺骗。您不太可能登录到您的银行，或Facebook，同时测试您的网站或刮谷歌搜索结果。(但是，如果你正在抓取谷歌页面，迫使你先登录谷歌，那么要小心一点--也许你只需要为你的抓取建立一个专门的gmail账户。)

因此，总之，与普通的桌面浏览会话相比，这些攻击有点模糊，也不太可能，但它们仍然存在，所以只有当脚本不起作用时才使用--web-security=no。