Можно ли увидеть значения переменных javascript браузера в чужом веб-приложении?
Это связано с этот секретный вопрос относительно того, что защищает учетные данные внутри одностраничного веб-приложения.
Предположим, мы используем приложение, которое не принадлежит нам, и в целях безопасности используются токены JWT. Можем ли мы регистрировать содержимое с помощью инструментов разработчика браузера или иным образом переменных, которые приложение использует для состояния. В частности, может ли кто-нибудь войти или увидеть содержимое токена JWT, который пользователь получил после аутентификации?
Этот вопрос может повторяться. Если вопрос заключается в том, может ли код другого сайта считывать переменные моих сайтов или может ли пользователь обращаться к переменным в браузере, на оба эти вопроса были даны ответы.
![Безумие обратных вызовов в javascript [JS]](https://i.imgur.com/WsjO6zJb.png)
Ответы 1
Да, это вполне возможно. Любой пользователь может просто открыть консоль разработчика и установить точки останова, чтобы увидеть значение переменных во время выполнения в определенный момент времени. Так разработчики отлаживают свои приложения.
JS-код внешнего интерфейса запускается в браузере, и, поскольку его нужно интерпретировать, исходный код необходимо загрузить в браузере, а затем запустить с помощью JS-движка (V8 для Chrome, webkit для Safari, Chakra для MS Edge и т. д.)
Чтобы защитить свое приложение, вам нужно разместить как можно больше бизнес-логики в коде на стороне сервера, когда речь идет о безопасности. Что касается JWT, предлагаю посмотреть этот ТАК вопрос.
Возможно, вам повезет, спросив на обмен стеками безопасности