文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

你有用过 JavaScript 中的函数劫持么?

2024-12-02 01:21

关注
// 原始函数
var saveLog = function (log) {
console.log(`我保存了日志:${log}`);
}

// 1-保存原有函数
var originSaveLog = saveLog;

// 2-改写原有函数
saveLog = function () {
const args = Array.prototype.slice.call(arguments);
// 3-在改写后的函数中执行原有函数的逻辑
originSaveLog.apply(null, args);
console.log('我要劫持你这个函数,用来做自己的事情');
}

saveLog('test Save Log');

大致实现的逻辑就是在每次调用保存日志的同时执行自己的逻辑,比如格式化、通知等。

函数劫持,在一个函数运行之前就把它劫持下来,添加我们想要的功能。当这个函数实际运行的时候,它已经不是原本的函数了,而是被我们添加上去的功能。这也是我们常见的钩子函数的原理之一。

如上面的示例,一般函数劫持会分成三步 :

为什么可以这么做?

一开始,我看上面这段代码还有疑惑,当重新给 saveLog 赋值的时候,不会改变 originSaveLog 的引用指向么?事实上是不会的,只会将 saveLog 指向另外一个引用地址。

可以看下面的例子就很容易理解了:

let a = {};
let b = a;
a.name = 'Gopal';
// ture {name: 'Gopal'} {name: 'Gopal'}
console.log(b === a, a, b);

基础:两个对象指向同一个地址的时候,修改某个对象的属性,另外一个对象也会随之变化

let a = {};
let b = a;
a = {name: 'Gopal'};
// false {name: 'Gopal'} {}
console.log(b === a, a, b);

基础:将新的对象赋值给对象变量的时候,该对象变量就指向了新对象的引用地址,跟旧引用切断关联

应用场景

增强你的函数功能

如上面的第一个例子,在原有的函数之上,实现特定的逻辑。

追踪 XSS 攻击

一般 XSS 攻击会先利用 alert() 等方法输出信息进行测试,这个时候,我们可以对原先的 alert() 进行劫持,向其输入追踪信息的代码,最后才把原函数执行。

如下所示:

function report(caller) {
var img=new Image();
img.src=`http://www.site.com/getReport.php?caller=${encodeURIComponent(caller)}`;
}
var _alert = window.alert;
window.alert = function (s) {
// 拿到攻击者相关信息,并上报
report(alert.caller)
_alert(s)
}
alert('test');

劫持 ajax 请求,实现 mock 功能

mock.js 中,就是通过对原生的 XMLHttpRequest(或 ActiveXObject)进行劫持,判断有没有找到匹配的数据模板,如果找到,则拦截 XHR 请求逻辑,执行自身规则对应的逻辑。如果未找到匹配的数据模板,则采用原生 XHR 发送请求。详细代码看这里[1]。

总结

JavaScript 中的函数劫持是一个增强原有函数的技巧,一般我们用来对原有的 JavaScript 全局方法做一些能力的增强。

参考资料

[1]这里: https://github.com/nuysoft/Mock/blob/refactoring/src/mock/xhr/xhr.js

来源:前端杂货铺内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯