xss -绑定事件

Question

在我的网站中使用Button1，我可以通过dev工具控制台(el = document.getElementById("Button1")；el.addEventListener("click"，someFunction);)向它添加一个事件。是否有办法使我的网站更安全，使事件不能添加一旦网站发布。谢谢!

Answer 1

不是的。

到达浏览器后，页面由浏览器控制。

浏览器为用户工作，而不是为页面作者工作。

Answer 2

Imho没有办法禁用开发工具。

您应该考虑DOM可能已被操纵，并为此添加了安全性。特别是后端不应该盲目地信任传入的请求。不只是XSS。

Answer 3

万一你还对此感到担心，你需要记住，一旦用户打开你的网站，他只有一个本地副本。他可以做任何他想做的事，比如添加按钮，添加脚本，他甚至可以把它转换成一个非法的网站，它仍然没有关系，因为它只是一个本地拷贝，所以他是唯一一个有这些变化的人，一旦他刷新了网站，所有这些变化都会消失。

如果你想要一个例子，你甚至可以用开发工具修改NASA的网站，这并不意味着它是不安全的。

当然，您需要编写考虑到所有这些的代码，因为这意味着您根本无法信任用户输入。如果您的javascript中有验证，您还需要在后端验证它，因为正如您所看到的，任何人都可以重写该验证。

编辑：只是为了澄清一些事情。XSS是在注入会影响其他用户的代码时使用的。例如，通过URL注入javascript，使用该URL的任何用户都将执行该javascript，或通过注释形式注入的javascript，现在每个读取该注释的用户都将执行该javascript。但是，如果您是唯一能够访问该脚本的人，就像开发工具一样，那么它不是XSS漏洞，它只是web浏览器的正常工作。