无下限的Chrome插件
今天打开淘宝登陆页面,在页面上突然提示我的密码已被成功盗取,如下图。
当时第一反应就是,肯定是标示的那个网站地址搞的鬼,打开审查元素看了一下,竟然发现了一张京东上的图片,该图片地址的后面跟着我的密码。再看控制台,输出了很多和盗取密码相关的内容。于是定位到该脚本文件,发现是一个Chrome的插件搞的鬼,最终发现该插件是我一直在使用的一个二维码生成插件html5高清二维码生成器。该插件的更新时间是2014年8月16号,估计就是这次更新才把这个垃圾功能加上去的,以下是相关的代码。
从代码上看,该插件只是将密码发送了出去,不过用这种下三滥的做法来推广自己的插件,真是令人不齿,果断卸载!
转载于:https://my.oschina.net/u/656885/blog/303243