Как изменить свойство isTrusted у события на true?

Question

[zkrvndm]

Возможно ли используя API от расширений Google Crome программно имитировать пользовательский клик?

Задача: нажать на кнопку скриптом из расширения так, чтобы целевой сайт видел положительный event.isTrusted.

Если решение существует и вы о нём читали хотя бы краем глаза, пожалуйста, дайте мне наводку для поисков.

Comments

[Сергей delphinpro]

isTrusted как и задумывался для того, чтобы отличать программные ивенты от реальных, совершенных пользователем. Путей обхода в принципе не было, нет и не будет.

[Сергей delphinpro]

Чисто теоретически:
Существуют открытые браузерные движки, движок javascript тоже открыт. Если у вас есть соответствующие скиллы, то можете собрать собственный браузер с измененным поведением.

[zkrvndm]

Сергей delphinpro, способы есть при использовании расширения для браузеров, оказывается из фонового процесса можно прокликать, но нужны права на консоль.

Answer 1

[acwartz]

Нельзя. Ввод с мыши и клавиатуры - четкие сигналы с конкретных HID-устройств подключенных к ПК. А JS.. ну это пытаться браузер обмануть его же методами.

Ставите фокус на компонент для клика/ввода, делаете на внебраузерное ПО запрос "нажми кнопку мыши", "введи текст", и то не факт что получится т.к. я не знаю как бразуер снимает интеракцию мыши/клавиатуры, может отличным от штатного способа всех прочих приложений.

Comments

[zkrvndm]

Да, ваш вариант в принципе хорош. Можно накидать скрипт который жмет по координатам (или взять готовый VBS) и софт этот вполне себе можно было бы запускать из браузера, если зарегистрировать соответствующий протокол в системе.

В целом, для меня это уже не актуально, так как мне надо было кликнуть рекапчку от Google, чтобы бы она не догадалась, что галочка проставлена скриптом. Каково же было мое удивление, когда я понял, что Google пофиг, проставлена галочка скриптом или реальный человеком, вполне себе работает и в лоб:

setTimeout(function() {
	document.querySelector('.recaptcha-checkbox-border').click(); },
5000);

В общем, тот самый случай, когда зоркий глаз внезапно заметил отсутствие четвертой стены)

Answer 2

[zkrvndm]

К сожалению, я тоже не нашел прямого способа поменять у события свойство isTrusted на true, но есть обходные пути, которые позволяют добиться похожего результата. Дело в том, что используя возможности API расширений мы можем отредактировать скрипты-обработчики целевого сайта так, чтобы там больше не было проверки свойства isTrusted или чтобы эта проверка всегда возвращала положительный результат. Это как бы и есть решение.

Comments

[acwartz]

А тут уже мне интересно как вы сможете заоверридить метод класса убрать признак.

[zkrvndm]

acwartz, очень просто, я же могу полностью переписать и заменить метод на целевой сайте на свой и мой метод всегда будет возвращать нужный именно мне результат.

[acwartz]

Надим Закиров, редко где такие сайты есть :) обычно все упаковано, пережато и обустифицированно. И целевые методы черти где за тысячей функий массивов и т.д. до которых не добраться.

[zkrvndm]

acwartz, ну, если код просто минимизирован, то там не сложно будет найти место, где написано .isTrusted и поправить условие так, чтобы всегда выдавало true. Вот если дополнительно код еще и зашифрован... тогда да, сначала придется распутать весь клубок, который навертели разрабы и тут уже решит дело у кого терпения больше, у разрабов или у тебя)

[acwartz]

Надим Закиров, в том-то и прикол что задолбаешься обустицированный код лопатить.

Answer 3

[VadimKholodilo]

Расширения Google Chrome имеют доступ к DOM, неужели нельзя сделать просто click? Типа document.getElementById('amazing id').click();

Comments

[zkrvndm]

Разумеется можно, однако если повесить обработчик и посмотреть параметры такого клика, можно увидеть, что свойство isTrusted у него false, т. е. целевой сайт, если захочет, вполне сможет понять, что клик симулирован скриптом, а не сделан реальным человеком.