昨天发现一个抗,一个项目的页面被Electron客户端套娃了,如果是正常的浏览器访问,因为跨域的问题,我测试过操作dom注入后,多少是有错误的,通过客户反馈,间接途径获取到了这个Electron客户端,运行exe后,能完成授权下的全部业务,还有增强业务功能,发现他完美的绕过了浏览器本身的限制,而且貌似用过Electron API,可以修改打开的任何HTML,也就说在这个Electron客户端下,相当于开天窗了。(当然,他只能修改前端的hTML,提交的数据还是按照后台的要求提交的)
怕打草惊蛇,我目前就只能用UA的特性信息能,暂时静悄悄收集信息,没有立马封锁这类客户的账号,如果那边Electron再次完美升级,我可能连那边的特性信息都获取不到了。
线上大家有没有熟悉Electron客户端的,以及怎么防止上面的流氓行为。他们这种修改了HTML,应该算是恶意篡改程序的行为吧。