以无法检测的方式检查 WebSocket 帧

Question

如何在 Chrome 扩展程序或 Firefox 插件中以页面无法检测到的方式读取网页的 WebSocket 帧？

Inspect WebSockets frames from a Chrome Dev Tools extension 提出了类似的问题，但开发 NPAPI 插件不再有意义，因为它很快就会被删除。

Answer 1

拦截 WebSocket 数据很容易。只需在页面构造 WebSocket 之前执行以下脚本。这个 sn-p 猴子修补 WebSocket 构造函数：当创建一个新的 WebSocket 构造函数时，sn-p 订阅 message 事件，您可以从那里对数据做任何您想做的事情。

这个sn-p被设计成与原生代码无法区分，因此页面无法轻易检测到修改（但是，请参阅本文末尾的备注）。

(function() {
    var OrigWebSocket = window.WebSocket;
    var callWebSocket = OrigWebSocket.apply.bind(OrigWebSocket);
    var wsAddListener = OrigWebSocket.prototype.addEventListener;
    wsAddListener = wsAddListener.call.bind(wsAddListener);
    window.WebSocket = function WebSocket(url, protocols) {
        var ws;
        if (!(this instanceof WebSocket)) {
            // Called without 'new' (browsers will throw an error).
            ws = callWebSocket(this, arguments);
        } else if (arguments.length === 1) {
            ws = new OrigWebSocket(url);
        } else if (arguments.length >= 2) {
            ws = new OrigWebSocket(url, protocols);
        } else { // No arguments (browsers will throw an error)
            ws = new OrigWebSocket();
        }

        wsAddListener(ws, 'message', function(event) {
            // TODO: Do something with event.data (received data) if you wish.
        });
        return ws;
    }.bind();
    window.WebSocket.prototype = OrigWebSocket.prototype;
    window.WebSocket.prototype.constructor = window.WebSocket;

    var wsSend = OrigWebSocket.prototype.send;
    wsSend = wsSend.apply.bind(wsSend);
    OrigWebSocket.prototype.send = function(data) {
        // TODO: Do something with the sent data if you wish.
        return wsSend(this, arguments);
    };
})();

在 Chrome 扩展程序中，sn-p 可以通过content script 和run_at:'document_start' 运行，请参阅Insert code into the page context using a content script。

Firefox 也支持content scripts，同样的逻辑也适用（contentScriptWhen:'start'）。

注意：之前的 sn-p 设计为在页面其余部分之前执行时与本机代码无法区分。检测这些修改的唯一（不寻常且脆弱的）方法是：

• 将无效参数传递给 WebSocket 构造函数，捕获错误并检查与实现相关的（特定于浏览器的）堆栈跟踪。如果堆栈帧比平时多一个，那么构造函数可能被篡改（从页面的角度来看）。

• 序列化构造函数。未修改的构造函数变为function WebSocket() { [native code] }，而修补后的构造函数看起来像function () { [native code] }（此问题仅存在于 Chrome；在 Firefox 中，序列化是相同的）。

• 序列化WebSocket.prototype.send 方法。由于该函数未绑定，因此对其进行序列化 (WebSocket.prototype.send.toString()) 会显示非本机实现。这可以通过覆盖.send 的.toString 方法来缓解，这反过来又可以通过与Function.prototype.toString 的严格比较被页面检测到。如果您不需要发送的数据，请不要覆盖OrigWebSocket.prototype.send。

Answer 2

Rob W 的方法有一个替代方法，可以完全屏蔽与页面的任何交互（对于 Chrome）

也就是说，你可以拿出一些重炮使用chrome.debugger。

请注意，使用它会阻止您打开相关页面的开发工具（或者更准确地说，打开开发工具会使其停止工作，因为只有一个调试器客户端可以连接）。 这已得到改进，因为：可以附加多个调试器。

这是一个相当低级的 API；您需要自己使用debugger protocol 构建查询。另外，对应的事件不在1.1文档中，需要看development version。

您应该能够接收此类 WebSocket 事件并检查它们的payloadData：

{"method":"Network.webSocketFrameSent","params":{"requestId":"3080.31","timestamp":18090.353684,"response":{"opcode":1,"mask":true,"payloadData":"Rock it with HTML5 WebSocket"}}}
{"method":"Network.webSocketFrameReceived","params":{"requestId":"3080.31","timestamp":18090.454617,"response":{"opcode":1,"mask":false,"payloadData":"Rock it with HTML5 WebSocket"}}}

This extension sample 应该提供一个起点。

事实上，这里是一个起点，假设tabId 是您感兴趣的标签：

chrome.debugger.attach({tabId:tab.id}, "1.1", function() {
  chrome.debugger.sendCommand({tabId:tabId}, "Network.enable");
  chrome.debugger.onEvent.addListener(onEvent);
});

function onEvent(debuggeeId, message, params) {
  if (tabId != debuggeeId.tabId)
    return;

  if (message == "Network.webSocketFrameSent") {
    // do something with params.response.payloadData,
    //   it contains the data SENT
  } else if (message == "Network.webSocketFrameReceived") {
    // do something with params.response.payloadData,
    //   it contains the data RECEIVED
  }
}

我已经测试了这种方法（链接示例如上修改）并且它有效。

Answer 3

只是为@Xan 答案添加一个例外（我没有足够的代表来对他的答案发表评论，所以我在这里添加它，因为我相信它可以为其他人节省一些时间）。

如果 WebSocket 连接是在通过 about:、data: 和 blob: 方案加载的上下文中建立的，则该示例将不起作用。

相关bug请看这里：Attach debugger to worker from chrome devtools extension