在所有地址上运行自己的用户脚本是否有风险？

john c. j. 发表于 Dev

约翰·乔

Tampermonkey（对于大多数浏览器）和Greasemonkey（对于Firefox）都支持@match和@include指令。

当我开始阅读它们之间的区别时，事实证明它@match更为严格：userscript将不会在某些地址上启动，这可能被视为潜在危险或只是不受欢迎的。

由此产生了一个问题：

a）在所有地址（即和相同）上启动我自己的用户脚本是否有潜在的风险？@match *://*/*@include

或者，b）在某些地址上启动用户脚本的限制仅与第三方用户脚本有关，即从某些站点下载并因此可能包含某些恶意代码的用户脚本？

布罗克·亚当斯

在所有地址上运行自己的用户脚本是否有潜在的风险？是的，一小；见下文。

当前（不在所有页面上）运行自己的用户脚本的主要原因是：

浏览器性能：加载和运行脚本需要时间，CPU周期，有时还需要磁盘访问。通常，延迟几乎不会引起注意，但是，如果延迟未提供有用的服务，为什么还要完全延迟呢？
意外的副作用：您认为您的$(".someclass").remove();代码只会影响X页-直到不会。头部刮擦，然后进行可选的诅咒...
其他常见的副作用包括导致页面或用户脚本失败的脚本冲突。
iframe：默认情况下，脚本在iframe上运行，并且某些页面上有数十个iframe和/或iframe嵌套了多个级别。
这是性能和副作用问题的乘数。
风险：敏感代码泄漏：$.get( "frbyPlay.me/pics?user=admin&pw=1234"...在非沙盒代码中使用，错误的站点可以看到它（或AJAX）。
使用页面的JS时，攻击的途径是无限的。幸运的是，这通常是极低的风险，可以轻松缓解，但是无知或自满会导致严重的尴尬。
风险：接触“绝命毒师”：最近，一个以前广受喜爱和信任的扩展名变成了邪恶。
当您的脚本使用的某些库（例如jQuery）遭到黑客入侵或“商业优化”时，会发生什么？脚本运行的页面越少，出现恶作剧的机会就越少，并且损害扩散越小。
（当然，如果Tampermonkey自己长大了山羊胡子，那么无论如何我们都会被认捐。）