Impedir que los visitantes usen la consola js

NSD · #1 (**permalink**) 14/02/2014, 18:19

Hola gente, tengo una duda, como es posible hacer que no funcione la consola js para evitar que usuarios ingresen código js y lo ejecuten?

No es que lo vaya a implementar (o quizas, si) pero me causa mucha curiosidad.

Por si alguien piensa que no se puede, antes que lo responda, que intente lanzar un simple alert en facebook desde la consola.

me gustaria aprender como se hace para poder permitir que se llamen a ciertas funciones desde alli que ya esten definidos (osea, escritas por mi) pero que no se pueda ejecutar ningun otro codigo

PHPeros · #2 (**permalink**) 15/02/2014, 04:31

Yo no le veo ningún inconveniente que ejecuten código a tiempo real

De todas formas lee esto.

NSD · #3 (**permalink**) 15/02/2014, 12:48

es para prevenir ataques del tipo self-xss, coincido con vos en que en una web comun no tiene mucho sentido, pero siempre es bueno tener algun az en la manga, nunca se sabe cuando lo vas a necesitar...

ahora bien me surge una duda, este es el codigo:

Código Javascript:

Ver original<script type="'text/javascript'">
(function(){
 
    var _z = console;
    Object.defineProperty( window, "console", {
    get : function(){
        if( _z._commandLineAPI ){
        throw "Sorry, Can't exceute scripts!";
            }
        return _z; 
    },
    set : function(val){
        _z = val;
    }
    });
 
})();
</script>

bloquea todas las ejecuciones js, pero si quiero permitir que llamen a una determinada funcion o que usen un prototipo en particular y todo lo demas se bloquee, es posible?

PHPeros · #4 (**permalink**) 15/02/2014, 14:09

No puedes tener control sobre las entradas de código que ejecuta el usuario, ahí simplemente modificas el objeto para que lanze error.

Creo que así es suficiente.

Aijoona · #5 (**permalink**) 17/02/2014, 14:44

Es imposible. Cualquier cosa que quieras hacer es facilmente evitable con un conveniente breakpoint.

ArturoGallegos · #6 (**permalink**) 18/02/2014, 11:47

Cita:

Por si alguien piensa que no se puede, antes que lo responda, que intente lanzar un simple alert en facebook desde la consola.

Que se supone debe pasar al lanzar un alert en facebook? lo acabo de hacer y salta el alert o cualquier otro código que me disponga a ejecutar.

America|UNK · #7 (**permalink**) 18/02/2014, 14:41

Me acabo de percatar, Facebook a podido bloquear la consola. Para que consigas eso en tu web no creo que halla forma ya que lo más probable es que halla sido un acuerdo entre Facebook y los navegadores para reducir el riesgo de sus cuentas, o talvez en un futuro hhla alguna forma implementado en el motor Javascript.

Depende a lo que estés haciendo puedes encontrar algún truco para evitar ejecutar código desde la consola. Pon el código.

NSD · #8 (**permalink**) 18/02/2014, 20:02

@Aijoona depende de que herramientas tengas en tus manos, por ejemplo, habia leido que se podia sobreescribir la funcion eval que era la que usaba la consola (es mentira, o al menos ya no funciona) pero si se recibiera en un parametro el texto a ejecutar, habria que parcearlo mal para permitir al visitante ejecutar codigo indebido.

@ArturoGallegos @America|UNK te respondió. a mi me pasa lo mismo.

@America|UNK el codigo que tengo es el que sugirio @PHPeros y esta en un mensaje mas arriba. Lo que quiero hacer es que los tipos solo puedan ejecutar una funcion "miFuncion()" cualquier otra cosa que hagan que la consola tire error.

Carlangueitor · #9 (**permalink**) 20/02/2014, 12:27

Lo único que hace bloquear la consola es protegerse de si mismos los usuarios, realmente no te da ninguna seguridad a ti. Yo lo omitiría.

Saludos

Aijoona · #10 (**permalink**) 20/02/2014, 13:57

Si facebook te 'bloquea' la consola, buscas en el código donde lo hace, le metés un breakpoint, modificas a piaccere y listo.

Como dijo Carlangueitor, es simplemente para proteger a los usuarios, no da ningun tipo de seguridad frente a gente con dos dedos de frente (y tiempo libre por supuesto)

supersiana · #11 (**permalink**) 11/06/2019, 08:22

Cita:

Iniciado por America|UNK

Me acabo de percatar, Facebook a podido [URL="https://www.facebook.com/selfxss"]bloquear la consola[/URL]. Para que consigas eso en tu web no creo que halla forma ya que lo más probable es que halla sido un acuerdo entre Facebook y los navegadores para reducir el riesgo de sus cuentas, o talvez en un futuro hhla alguna forma implementado en el motor Javascript.

Depende a lo que estés haciendo puedes encontrar algún truco para evitar ejecutar código desde la consola. Pon el código.

En realidad Facebook no lo bloquea, sino que envía a la consola un mensaje de alerta previo. Una vez que uno entra a la consola, lo ve.
Pero si envías el Alert, de todos modos se envía y se ejecuta.
El aviso lo pone Facebook por si el usuario ingresa a la consola siguiendo la guía de algún estafador que le haga seguir pasos por esa vía para sacarle información.