Tampermonkey脚本安全：警惕Function.prototype.caller导致的源码泄露风险

问题背景

在Tampermonkey用户脚本开发中，存在一个潜在的安全隐患：攻击者可能通过JavaScript的Function.prototype.caller属性获取用户脚本的完整源代码。这一问题源于JavaScript语言特性与Tampermonkey脚本执行环境的交互方式。

问题原理分析

该安全问题的核心在于JavaScript的arguments.callee.caller链式调用机制。当用户脚本中的数组进行隐式类型转换（如调用toString()方法）时，攻击者可以通过重写Array.prototype.toString方法来获取调用栈信息。

具体流程如下：

1. 攻击者在网页中重写Array.prototype.toString方法
2. 用户脚本执行数组操作（如[1, 2] + 3）触发隐式类型转换
3. 被重写的toString方法通过arguments.callee.caller向上追溯调用链
4. 最终可以获取到用户脚本的完整函数体

问题影响范围

此问题影响所有未采取防护措施的Tampermonkey脚本，特别是：

1. 未使用严格模式(use strict;)的脚本
2. 在Chrome等V8引擎浏览器中运行的脚本
3. 使用默认沙箱模式的脚本

防护方案

Tampermonkey提供了多种防护措施来防止此类源码泄露：

1. 启用严格模式

在脚本开头添加use strict;指令是最简单的防护方法。严格模式下会禁用arguments.callee和Function.prototype.caller等不安全的特性。

// ==UserScript==
// @name        安全脚本示例
// ==/UserScript==

'use strict';
// 脚本内容...

2. 使用沙箱模式

Tampermonkey提供了两种沙箱模式增强安全性：

• JavaScript沙箱：在Firefox中可用，通过// @sandbox JavaScript指令启用
• DOM沙箱：通过设置Sandbox Mode为All并添加// @sandbox DOM指令启用

3. 避免直接操作页面原型

避免在用户脚本中直接修改或依赖页面全局对象(如Array、Object等)的原型方法，减少被攻击面。

最佳实践建议

1. 始终使用严格模式：这是防止此类问题的最简单有效方法
2. 最小权限原则：仅申请必要的@grant权限
3. 代码混淆：对敏感代码进行混淆处理，增加逆向难度
4. 沙箱隔离：尽可能使用Tampermonkey的沙箱功能隔离脚本环境
5. 避免隐式类型转换：显式调用方法而非依赖隐式转换

总结

Tampermonkey脚本安全问题不容忽视，开发者应当充分了解JavaScript语言特性可能带来的安全隐患。通过启用严格模式、利用沙箱功能等防护措施，可以有效防止脚本源码被获取。对于包含敏感逻辑或商业价值的脚本，建议采用多重防护措施确保代码安全。