建议可选是否提示
ssrsec opened this issue · comments
启用响应体规则匹配功能在一开始架构设计时为了保证获取响应体流量的完整性和可靠性选择了通过Chrome API调用chrome devtools protocol来监听network事件的方式(另一种解决方案通过对访问网页注入脚本以获取DOM有两种缺陷:1、无法获取非document结果的请求,如api接口调用;2、注入脚本的网页与插件间的消息传递可伪造)。
这种方式的缺陷即当Chrome API-debugger调用时,浏览器被Chromium内核硬性编程了会出现调试条提示以防止插件进行用户无感知的恶意编程,只能通过Chrome在启动时添加启动参数来隐藏(参考README-高级-4),但这是危险的,其他插件如果存在debugger行为也将被该参数忽略,所以推荐的解决方式如README所述--“仅在攻击部分需高度关注页面开启该选项,用完即关”。