بمساعدة JavaScript ، يمكن للمتصفحات الحديثة القراءة والكتابة في حافظة المستخدم ، أي يمكنها أيضًا معالجتها. التكنولوجيا الأساسية هي بالفعل قبعة قديمة ، ولكن في الآونة الأخيرة فقط تم تداول المزيد والمزيد من الهجمات (تحت اسم "PasteJacking") على الإنترنت ، والتي تستفيد من هذا الاحتمال للمستخدم عديم الخبرة. التنفيذ في JavaScript عادي.
تم دمج النص التالي فقط في الجانب الضار:
27670b8ba9840e688369822a3fcfb2d9
إذا قمت بنسخ أي نص من مثل هذه الصفحة ، فإن السلسلة غير المرغوب فيها تنتهي دائمًا في الحافظة (في هذا التطبيق بغض النظر عن النص المنسوخ). بدلا من "الأمر الشرير" يمكنك الآن أن تأتي بالكثير من الأشياء القبيحة. يصبح الأمر برمته قاتلاً إذا تم استخدام فاصل سطر في نهاية السطر لتنفيذ الكود على الفور:
27670b8ba9840e688369822a3fcfb2d9
من السهل أيضًا إعادة تعيين إخراج وحدة التحكم بحيث لا يلاحظ المستخدم على الفور ما أدخله. على سبيل المثال ، من المتصور أنه عند نسخ مقتطف شفرة غير ضار ، يمكن للمرء أن يطلق النار على أقسامه بشكل عابر.
27670b8ba9840e688369822a3fcfb2d9
يمكن معالجة الحافظة (في شكل مختلف) حتى بدون JavaScript:
27670b8ba9840e688369822a3fcfb2d9
إذا قمت بتحديد النص المطلوب ، على سبيل المثال في أحدث إصدار من Firefox (الإصدار 45.0) ، فلن يكون هذا النص ولكن النص الموجود خلفه ينتهي في الحافظة.
يمكن تجربة كلا الطريقتين مباشرة هنا. هنا متغير JS:
See the Pen Pastejacking #1 by David Vielhuber (@vielhuber) on CodePen.
بالإضافة إلى متغير CSS:
See the Pen Pastejacking #2 by David Vielhuber (@vielhuber) on CodePen.