谷歌浏览器脚本调试 Temper Chrome 一款好用到飞起的HTTP请求修改插件
这款插件叫Temper Chrome,最大的特点是可以让开发者即时修改HTTP请求,帮助进行Web安全测试。可以在所有操作系统(包括Chrome操作系统)上运行(牛逼哄哄的感觉,就是这么任性和霸道)。
1. 如何安装Temper Chrome
Temper Chrome有两个组件需要安装:
2. 如何使用Temper Chrome
打开Temper Chrome,安装好后,打开谷歌浏览器,点击鼠标右键,选中“检查”,或者option+command+j快捷键调出开发者工具。
在开发者工具的顶边栏可以看到如图所示。
点击箭头辅助论坛,即可看到Temper.
打开temper.可以看到左边的六个选项谷歌浏览器脚本调试,从上至下依次的功能为
阻塞/重定向路由请求
该工具允许阻止或重定向浏览器的请求,比如更改jQuery的版本。更改一些参数等等。可以直接通过更改URL并单击允许来实现。
这里打开一个网站,通过分别点击Block和Allow可以分别阻拦和允许加载url内容。还可以单击编辑JavaScript和Css样式表,从而修改javascript和CSS代码本身。右下角底部可选择通过所有请求。
请求头
虽然Block / Reroute请求有助于篡改网站,并取消一些请求,但在许多情况下,还需要修改HTTP请求头。
响应头
响应标头与请求头完全相同。 它允许您删除,修改或添加新标题。
对于删除或修改许多安全标题(如Content-Security-Policy,X-Frame-Options,X-XSS-Protection等)非常有用。
post消息监控
与其他工具不同,此工具主要用于监控使用HTML5 postMessage() API的网站。
postMessage()方法允许来自不同源的脚本采用异步方式进行有限的通信,可以实现跨文本档、多窗口、跨域消息传递。
跨站脚本攻击(XSS)监控##
Tamper Chrome的另一个非常酷的功能是它允许更好地调试跨站脚本攻击(XSS)漏洞。
当测试XSS时,您可以使用作为HTML元素(当然,它也可以作为一个属性,以javascript变量形式存在,你也可以使用和)。Tamper Chrome会自动检测它,并显示它的具体位置,堆栈可跟踪它的生成位置。 非常适用于DOM XSS。
重新请求
Tamper Chrome中的最后一个工具是重新请求。 这个工具非常有用,因为它允许修改POST请求的XHR Postdata(即post请求的具体内容,或将POST请求写入GET请求)。
值得注意的地方在于谷歌浏览器脚本调试,修改请求后,会生成一个新的请求,这个新的请求可用于修改。
对于前端开发来说,这个插件非常实用,喜欢的小伙伴们可以用起来了嘿。
回顾:
来源:【九爱网址导航www.fuzhukm.com】 免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!