Recentemente ho sentito che Firefox fa una seconda richiesta HTTP quando viene richiesto il codice sorgente. È vero?
Questo significa che il webserver potrebbe emettere una fonte alternativa dall'originale?
Infine, c'è uno strumento che dovrei usare (o non dovrei usare) specificamente quando guardo il codice sorgente di HTTPS canaglia?
Sì, i browser moderni come Firefox e Chrome eseguono una seconda richiesta se visualizzi l'origine. E ciò significa che la fonte potrebbe essere diversa da quella che viene visualizzata.
Se si desidera la fonte originale, è necessario utilizzare alcuni componenti aggiuntivi come la barra degli strumenti di sviluppo Web (https://addons.mozilla.org/en-US/firefox/addon/60). Quindi utilizza Visualizza origine generata.
Il modo più sicuro per estrarre il codice sorgente per un sito Web è con un client che non può eseguire il rendering / eseguire il contenuto che scende.
Vuoi cercare qualcosa che richiama semplicemente dati, come netcat o arricciatura, o uno script / applicazione personalizzato che fa richieste HTTP non elaborate.
Ma ancora una volta, la chiave è usare qualcosa che è impermeabile al contenuto scaricato perché non lo capisce.
Dipende dal livello in cui vuoi vedere il codice sorgente.
View Source di Firefox ti dà il codice sorgente visto dal motore di rendering; sfortunatamente, FF stesso applica alcune trasformazioni prima che il motore di rendering possa vederlo, e c'è del caching, quindi non è sempre affidabile.
Strumenti come curl e wget ti mostreranno la risposta esatta a livello HTTP (comprese le intestazioni HTTP, se le chiedi). Di solito è abbastanza buono e gestiscono in modo trasparente HTTPS per te, quindi non devi preoccuparti della parte SSL del protocollo.
Se vuoi immergerti un po 'più a fondo, prova netcat o telnet - queste fondamentalmente ti danno una connessione a flusso di byte al server, permettendoti di digitare (o convogliare) le richieste HTTP direttamente, e visualizzare la risposta non elaborata. Il rovescio della medaglia è che se violerai il protocollo, verrai espulso dalla connessione.
Per andare ancora più a fondo, considera uno sniffer di rete: wireshark è eccellente, ma piuttosto complesso; fornirà i pacchetti non elaborati e il loro contenuto a diversi livelli dello stack di rete.
Attivo Firefox io uso Firebug per quello. F12 attiva firebug.
Su Chrome è presente un "Strumenti per sviluppatori" incorporato Ctrl + Maiusc + I o menu- > Strumenti - > "Strumenti per sviluppatori".
Entrambi possono visualizzare la struttura DOM corrente (modificata dagli script) e le richieste e risposte HTTP
.Malzilla è un coltellino svizzero quando si parla di codice straniero in Windows . Non solo può visualizzare la fonte, ma può aiutare qualcuno a offuscare il codice javascript "divertente".
Se sei preoccupato che View Source ti procurerà qualcos'altro oltre al fatto che vada oltre il limite, consiglio vivamente Fiddler : si tratta di un proxy HTTP (S) che si trova tra il browser e la rete e mostra le richieste e le risposte effettive prima che il browser arrivi a loro (in questo modo, visualizzi esattamente gli stessi dati del browser, senza ulteriori richieste). Ha vari strumenti per analizzare il contenuto, inclusa la visualizzazione della fonte.
Per curiosità dove l'hai sentito?
Ho capito che tutti i browser hanno visualizzato la fonte del file memorizzato nella cache. Ma dal momento che Firefox utilizza un protocollo personalizzato per visualizzare la fonte, potrebbe essere possibile visualizzare l'origine di un file che non è memorizzato nella cache, quindi sarebbe necessario fare una richiesta per esso.
Ctrl + U è il modo più semplice per visualizzare il codice sorgente del sito web! Nel browser Firefox.
chrome e firefox lo fanno se lo apri in una nuova scheda. Gli editor live non lo fanno (F12 / tasto destro del mouse in chrome). Safari non lo fa - ma non formatta neanche la fonte (come il vecchio IE).
Leggi altre domande sui tag http web-browser web-application appsec