Chrome浏览器的使用学习


Google Chrome的特点是简洁、快速(这点有待商榷,因为在Chrome浏览器中,每个标签页都是个独立的进程,当页面开的比较多时很占内存,在一般的电脑上运行时会显得比较卡)。Google Chrome支持多标签浏览,每个标签页面都在独立的“沙箱”内运行,在提高安全性的同时,一个标签页面的崩溃也不会导致其他标签页面被关闭。


鼠标右键-审查元素


Ctrl+N 打开新窗口

Ctrl+T 打开新标签页

Ctrl+Shift+N 在隐身模式下打开新窗口(隐身状态时所打开的网页不会记录在浏览历史记录中。所有新的 Cookie 都会在关闭隐身窗口后删除。可使用不同的窗口,同时进行正常浏览和隐身访问。)

  • 按住 Ctrl 键,然后点击链接。这将在新标签页中打开链接,但您仍停留在当前标签页中。(和“鼠标中键”的效果一样!)
  • 按住 Ctrl+Shift 键,然后点击链接在新标签页中打开链接,同时切换到新打开的标签页
  • 按住 Shift 键,然后点击链接新窗口中打开链接

Alt+F4 关闭当前窗口(还有:Ctrl+W)

Ctrl+Shift+T 重新打开上次关闭的标签页。谷歌浏览器可记住最近关闭的 10 个标签页。{在搜狗浏览器中是 Alt+Z}


将链接拖动到标签页内    #在指定标签页中打开链接;

将链接拖动到两个标签页之间    #在标签页横条的指定位置建立一个新标签页,在该标签页中打开链接。

  • Ctrl+1 Ctrl+8 切换到指定位置编号的标签页。您按下的数字代表标签页横条上的相应标签位置
  • Ctrl+9 切换到最后一个标签页
  • Ctrl+Tab 或 Ctrl+PgDown 切换到下一个标签页
  • Ctrl+Shift+Tab 或 Ctrl+PgUp 切换到上一个标签页

Alt+Home 打开主页

  • Ctrl+D 将当前网页加入书签
  • Ctrl + Shift + D 将当前所有打开的网页加入书签
  • Ctrl-Shift-O      书签管理器     chrome://bookmarks/
  • Ctrl-Shift-B       显示书签栏
  • Ctrl-H             历史记录
  • Ctrl-J             下载内容
  • Ctrl-U             查看源代码

Ctrl-Shift-Delete  清除浏览数据

Ctrl+Shift+V     将剪切板中的内容无格式粘贴

Shift+Esc          查看任务管理器

  • F12
  • Ctrl-Shift-I                  开发者工具
  • Ctrl-Shift-J                  Javascript控制台

 

一、固定标签页

只需要在标签页单击右键,选择“固定标签页”,那么这个标签页就会永久出现在你的浏览器左上方,而不需要每次都打开,这个功能实用于你每次都需要打开的一些页面,比如Gmail。

二、拖放下载

你可以很容易的将通过Chrome下载的内容拖拽到桌面或者计算机的任何其他文件夹内,这意味着,从现在开始,你不需要每次都去更改设置下载位置。

三、纯文本复制

这个隐藏的功能十分实用,至少对我来说是这样。如果你从一个网页复制内容,然后粘贴到其他地方(除了文本编辑器如记事本),那么HTML和CSS的相关内容也复制过来了。
下一次,当你从Chrome拷贝东西,并只需要文字内容的时候,使用Ctrl+Shift+V而不是Ctrl+V,这样得到的粘贴结果将会是纯文本内容。


《 “Chrome浏览器的使用学习” 》 有 29 条评论

  1. `
    AdBlock :广告拦截器
    EditThisCookie :一个cookie管理器
    JSONView :json内容格式化查看工具
    Save to Pocket :Chrome 版 Pocket 扩展插件
    Tampermonkey :由FireFox上的油猴脚本管理器而来
    添加到奇妙清单 :奇妙清单一键收藏网页
    Requestly :修改HTTP请求(Redirect | Cancel | Replace | Modify)
    RSS Subscription Extension :由 Google 提供的RSS订阅工具
    Vimium :在Chrome浏览器上使用Vim的按键模式
    `

  2. 有一个 Chrome 插件叫 “The Last Sunday”,能让你每打开一个空白 Chrome tab 的时候看到自己还能经历几个星期日,可能也就2500到3500个星期日吧……

    • 手工逆 Chrome 扩展后门的一些思路
      https://mp.weixin.qq.com/s/h7m7-luE4nW_utaZhUrKEA
      `
      手工逆 Chrome 扩展起来很快,给大家简单分享下经验:

      首先是后门扩展地址:
      https://chrome.google.com/webstore/detail/user-agent-switcher-for-g/ffhkkpnppgnfaobgihpdblnhmmbodake

      可以随便搜索个 Chrome 扩展下载服务把扩展文件下载下来分析。比如这个:
      https://chrome-extension-downloader.com/

      扩展后缀是 crx,改为 7z,解压就好。

      解压后,直接去读相关文件:js、html、json 等,可以先看看 manifest.json 文件,这里做了这个扩展需要的基本声明,尤其是权限,如下:
      ……
      可以看到这个权限已经足够控制你 Chrome 的一切网络行为了,只要它愿意。

      然后直入主题去看这次出问题的 js 文件:background.js,第 80 行,这行是一大段代码,做了些加密操作,可以用开源的 XSS’OR(http://xssor.io)直接去解。

      把这行代码粘贴到 XSS’OR 的 ENCODE/DECODE 的文本框去,然后点击 JS BEAUTIFY 就可以一键解密并美化。

      美化后,里面的 Canvas 操作逻辑就很明显了,恶意代码隐藏在图片 promo.jpg 里,通过 Canvas 技术读取出来并应用下面这个技巧来动态执行:
      document.defaultView[(typeof r.Ae).charAt(0).toUpperCase() + (typeof r.Ae).slice(1)](n)()

      实际上,这个技巧等于:
      document.defaultView[Function](n)()

      n 这个变量可以是任意一段 JavaScript 代码。

      我们在做调试时,可以把这些代码片段拿出来,在 XSS’OR 的 ENCODE/DECODE 里进行,用其中的 EVAL CODZ 功能就好(在 JS BEAUTIFY 按钮旁边)。调试输出,可以用 alert,也可以 console.log,看个人喜好。

      这段内容很眼花,但是我们已经可以接触到真相了。后续可以继续通过 XSS’OR 的 JS BEAUTIFY 去美化,但是还是会很眼花,因为所有变量都加花了,而且这里运用了大量 ES6 语法糖,如果对 JavaScript 新标准不了解,看这段代码很容易晕。

      到这,重复上面的一些调试技巧逐一耐心调试,没有解不开的代码。

      如果你想更清晰了解某些代码片段的意思,有必要好好去了解下 Chrome 扩展开发的一些知识。
      `

  3. 如何在Google Chrome中手动设置位置信息
    https://www.sysgeek.cn/google-chrome-set-location/
    `
    点击开发者控制面板右侧的「三点」按钮——然后单击「More tools」——然后单击「Sensors」(传感器)选项——在「Geolocation」(地理位置)右侧下拉列表中选择——「Custom location」(自定义位置),在「latiude」纬度、「longitude」中填写坐标信息即可。
    `

  4. 渗透测试人员使用Chrome时的神兵利器
    http://evilwing.me/2018/02/09/%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95%E4%BA%BA%E5%91%98%E4%BD%BF%E7%94%A8Chrome%E6%97%B6%E7%9A%84%E7%A5%9E%E5%85%B5%E5%88%A9%E5%99%A8/
    `
    1.Wappalyzer
    2.Proxy SwitchyOmega
    3.User-Agent Switcher for Chrome
    4.shodan
    5.Xpath Helper
    6.SelectorGadget
    7.WebDeveloper
    8.d3coder
    9.Firebug Lite
    10.Form Fuzzer
    11.Session Manager
    12.Request Maker
    13.Cookie Editor
    14.Cache Killer
    15.XSS Rays
    16.websecurify
    17.HPP Finder
    18.IP Address and Domain Information
    19.Nimbus Capture
    20.AdBlock
    `

  5. Chrome插件英雄榜V3.0(30篇插件评测,动图超多~)
    https://zhuanlan.zhihu.com/p/61484122
    https://www.jianshu.com/nb/27879124
    https://github.com/zhaoolee/ChromeAppHeroes
    `
    目录(2019年4月11日更新)
    * 032《Smallpdf》简单好用的线上PDF工具

    * 031《OneTab》把多个Tab转换为一个列表

    * 030《掘金》相信优质技术内容的力量

    * 029 《SimpRead》为任意网页开启阅读模式

    * 028《AdBlock》Adblock自定义屏蔽简书广告

    * 027《Text》来自Chrome实验室的跨平台记事本

    * 026《Quickey Launcher》打开网站只需一键

    * 025《Console》Chrome自带好用的计算器

    * 024《Dark Reader》为任意网站启用夜间模式

    * 023《FireShot》一键滚动截屏整个网页

    * 022《扩展管理器》管理你的Chrome扩展

    * 021《哔哩哔哩助手》助你快速成为B站老司机

    * 020《Boxel Rebound》“嗨到中毒”的弹跳小方块(附自制赛道分享方法)

    * 019《MEGA》网盘可以良心到什么程度? 试试MEGA吧!

    * 018《Enhanced Github》从“冰柜”到“冰棍儿”,下载Github单个文件

    * 017《新浪微博图床》本地Markdown编写更流畅, 新浪微博图床来帮忙

    * 016《解除B站区域限制》查看进击的巨人第三季

    * 015 《XPath Helper》完成Bing每日壁纸的小爬虫

    * 014《超级马里奥游戏》Chrome变身小霸王

    * 013《Quick QR》用二维码实现云粘贴

    * 012《OurStickys》Chrome特色网页便签纸

    * 011 《whatruns》一键分析网站技术栈

    * 010《speedtest》网络测速插件speedtest

    * 009《vimium》Chrome与vim双神器融合

    * 008《Chrome Cleaner Pro》为Chrome加速

    * 007《loom》 Chrome翻录网页视频神器

    * 006《SimilarSites》 一键查找姊妹网站 SimilarSites

    * 005《Video Speed Controller》 刷课(刷剧)神器!给网页视频加个速(最快可达16倍!)

    * 004《Tampermonkey》 油猴子! 给浏览器开个挂

    * 003《Secure Shell App》 Chrome中开启ssh一种什么体验

    * 002《chrono》 让Chrome下载资源更容易

    * 001《markdown-here》 Markdown一键转换到”富文本格式”

    `

  6. 在Chrome中如何不借助扩展进行滚屏截图(How to take full page screenshot in Chrome without extensions)
    https://www.utilitylog.com/full-page-screenshot-chrome/
    `
    在Chrome 59(及以上版本)中已经支持对整个页面进行截屏

    先打开控制台(在Mac上可通过组合键 fn+f12 打开);
    再通过命令进行截图(在Mac上是 Command+Shift+p 组合键)。

    补充:在 Mac 下打开开发者工具的快捷键还有 Cmd + Opt + I (Opt是Command左边的那个键)。
    `

  7. New Chrome 0-day Bug Under Active Attacks – Update Your Browser Now!
    Chrome用户请尽快更新:谷歌发现两个严重的零日漏洞
    https://thehackernews.com/2019/11/chrome-zero-day-update.html
    https://securelist.com/chrome-0-day-exploit-cve-2019-13720-used-in-operation-wizardopium/94866/
    https://www.cnbeta.com/articles/tech/906133.htm
    `
    With the release of Chrome 78.0.3904.87, Google is warning billions of users to install an urgent software update immediately to patch two high severity vulnerabilities, one of which attackers are actively exploiting in the wild to hijack computers.

    Without revealing technical details of the vulnerability, the Chrome security team only says that both issues are use-after-free vulnerabilities, one affecting Chrome’s audio component (CVE-2019-13720) while the other resides in the PDFium (CVE-2019-13721) library.
    `

  8. 谈谈 Chrome 隐藏 https 和 www 那些事
    https://blog.skk.moe/post/chrome-omnibox-www/
    https://github.com/chromium/suspicious-site-reporter
    `
    从 Chrome 69 开始,Google 就在尝试将地址栏中的 https:// 和 www 隐藏起来,虽然这一改动很快就被撤掉了,但是在 Chrome 76 开始,Google 再一次进行这一改动,直到 Chrome 79,彻底尘埃落定,无法再通过 chrome://flags 禁用掉。

    如果你的 Chrome 版本大于等于 79,chrome://flags 中已经没有上述选项。你需要在 Chrome Web Store 安装一个名为「Suspicious Site Reporter」的扩展。这个扩展由 Google 提供,用户可以通过这个扩展将可疑网址举报给 Google Safe Browsing。但是当你安装完这个扩展后你会发现,地址栏中的 https:// 和 www 又回来了。
    `

  9. 隐藏在浏览器背后的“黑手”
    https://mp.weixin.qq.com/s/MuUM77KrgrFRn_fjPxzMXg
    `
    一、事件概述
    2020年10月,美团安全运营平台发现流量中存在恶意JavaScript请求,信息安全部收到告警后立即开始应急处理,通过对网络环境、访问日志等进行排查,最终锁定恶意请求由Chrome浏览器安装恶意插件引起,该恶意JavaScript文件会窃取Cookie并强制用户跳转到恶意色情站点、推广链接等,结合美团威胁情报大数据,发现该插件与Lnkr Ad Injector木马特征吻合。

    此类木马传播方式多样,会通过浏览器插件、Broken Link Hijacking等方式在页面中植入恶意代码,不仅严重影响用户正常访问还会窃取用户数据。经追踪分析发现,多个国内大型互联网站点(Alexa全球排名前600)被感染,影响上亿网民的上网安全,建议各大平台对自身系统第三方加载源以及内部终端设备进行检查,避免遭受此类木马攻击。

    通过告警信息判断基本的攻击行为是:
    1. 用户访问正常页面;
    2. 页面加载外部JavaScript文件(A):http://s3.amazonaws.com/js-static/18ced489204f8ff908.js;
    3. A加载第二个JavaScript文件(B):http://countsource.cool/18ced489204f8ff908.js;
    4. B包含恶意代码,向远程域名发送Cookie等敏感信息。

    此类木马对外部用户和内部员工访问同时具有严重危害。

    在外部用户方面,如果企业没有严格控制系统第三方资源加载,黑产利用Broken Link Hijacking的攻击手法,致使业务系统加载资源时被劫持植入恶意代码,将严重影响用户体验、信息安全和企业形象。

    从内部员工角度,传统杀软、EDR等终端安全设备并不能很好地识别出此类恶意插件,攻击者通过传播恶意浏览器插件控制员工浏览器加载远程恶意资源,不仅仅可以用于广告注入,相较于针对浏览器的其他攻击方式,可以达到更稳定,触发面更广的敏感信息窃取、内网探测等,在CSP历史阻断的恶意请求中,我们也发现除窃取Cookie信息外,也存在恶意代码窃取页面文本信息的情况,这些文本信息在企业内部平台中,极有可能包含大量用户,订单等敏感信息。

    # 如何发现此类恶意木马植入?
    针对恶意浏览器插件,在检测方面对其代码做静态分析成本比较大,触发恶意请求的Payload都是通过大量编码转换、拼接、正则匹配等构造而成、且经过了很多没有实际意义的方法,在动态分析方面,由于Chrome插件代码会调用Chrome后台API,在常规沙箱环境中可能会出现无法调用API而中途报错退出。分析中还发现,很多恶意行为需要触发特定事件才能进入到构造恶意Payload流程,如触发chrome.tabs.onUpdated等。

    # 对于浏览器插件安全,可以通过以下方式进行检测及防护:
    * 禁止安装未在Chrome应用商店上线的插件(公司内部开发的插件除外);
    * 对插件manfiest.json文件进行轻量级的排查,manfiest.json文件中申请权限相对敏感,如Cookie、tabs、webRequest等等;
    * 利用内容安全策略(CSP)对应用页面发起的请求进行拦截或监控,集合静态与动态分析技术,判断JavaScript文件行为;
    * 利用浏览器沙箱与EDR,定期对浏览器插件进行扫描;
    * 构建网络层的检测能力,发现有恶意请求及时应急处理。

    # 对于业务系统自身是否加载恶意资源方面:
    * 严格控制系统加载的第三方资源;
    * 通过内容安全策略(CSP)对页面触发的请求进行拦截或监控。
    `

  10. Chrome浏览器的小技巧

    无意中关闭了某个标签页?您可以轻松地重新打开它。
    “啊!我关掉了不该关闭的标签页!”无需担心。使用 Chrome 时,您可以轻松找回它。
    1. 右键点击 Chrome 标签栏上的空白区域。
    2. 点击重新打开关闭的标签页。
    您也可以使用键盘快捷键:⌘ + Shift + T

    chrome://whats-new/
    https://www.google.com/intl/zh-CN/chrome/tips/
    `
    * 整理
    * 自定义
    * 最大化
    * 快捷键
    * 扩展程序
    `

  11. Chrome 浏览器有些网站无法保存密码,如何手动保存?
    https://www.zhihu.com/question/20578624
    `
    【已失效@98.0.4758.109】在 Chrome 地址栏输入「chrome://flags/#enable-password-force-saving」打开实验功能选择强制保存密码为「已启用」,重启浏览器后打开无法保存密码的网站,在密码输入框「右键 – 保存密码」

    【主动导入密码,可行】打开导入密码开关,在 Chrome 地址栏输入「chrome://flags/#password-import」打开实验功能,选择enable!
    导入csv文件的格式如下(第一行必须要有):

    name,url,username,password
    域名,登录的完整地址,用户名,密码

    测试发现可以导入成功,但是在某些autocomplete关闭的网站下面还是不会提示。。。
    `

  12. 如何查看CHROME插件JS源码
    http://blog.nsfocus.net/chromejs/
    `
    分两种情况,一种是已安装插件,一种是未安装插件。查看已安装插件

    chrome://extensions/

    以”WebRTC Leak Shield”为例,点击”详情”,转到另一个URL

    chrome://extensions/?id=bppamachkoflopbagkdoflbgfjflfnfl

    去资源管理器中访问

    %USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default\Extensions\bppamachkoflopbagkdoflbgfjflfnfl\

    若未安装插件,但想查看其js源码,需要下载其对应的some.crx,参看

    《离线安装Chrome插件》
    https://scz.617.cn/web/202205271527.txt

    先打开chrome web store

    https://chrome.google.com/webstore/
    https://chrome.google.com/webstore/category/extensions
    https://chrome.google.com/webstore/category/extensions?hl=en-US

    搜索”WebRTC Leak Shield”,得到

    https://chrome.google.com/webstore/detail/webrtc-leak-shield/bppamachkoflopbagkdoflbgfjflfnfl?hl=en-US

    有个在线网站

    https://crxextractor.com/

    网站有大量广告,视觉干扰很多。点击”LET’S START”,将这种URL贴进去

    https://chrome.google.com/webstore/detail/webrtc-leak-shield/bppamachkoflopbagkdoflbgfjflfnfl?hl=en-US

    依次点击”OK”、”GET .CRX”,即可下载some.crx。用7-Zip解压some.crx,其目录结构完全同

    %USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default\Extensions\bppamachkoflopbagkdoflbgfjflfnfl\1.0.8_0\

    若懂WEB前端开发,这些不用讲。不懂WEB前端开发,看js源码也白看,我就是后者,尴尬。胡乱看了一下background.js,试图理解某些代码逻辑。
    `

  13. 如何使用Chrome浏览器隐藏的颜色选择器工具
    https://www.163.com/dy/article/IB0FTN1005562KQL.html

    使用chrome的控制台查看网页内各节点颜色的方法
    https://blog.csdn.net/ArthurCaoMH/article/details/85923949
    `
    Chrome已经内置了颜色选择器。你不需要一个扩展程序。Chrome浏览器打开开发工具(Mac上CMD+Shift+C,Windows上CTRL+Shift+J)。
    然后在右下角的 Styles 那里的 filter 中输入 color 查找当前页面中有颜色属性的元素和色彩值,在色彩值的左边有一个有颜色的小方块。方形的颜色与色彩值匹配。点击这个小方块打开Color Picker(颜色选择器)。

    要打开Color Picker(颜色选择器,也称作拾色器),在Styles(样式)窗格中找到一个定义颜色(如color: blue)的CSS声明。在色彩值的左边有一个有颜色的小方块。方形的颜色与色彩值匹配。点击这个小方块打开Color Picker(颜色选择器)。(愚人码头注:按住Shift键,点击这个小方块,可以修改颜色格式。关闭颜色选择器可以按Esc或Enter键。)
    `
    使用颜色选择器修改颜色
    http://shouce.jb51.net/chrome/jian-pan-kuai-jie-jian-he-ui-kuai-jie-jian-can-kao/bian-ji-yang-shi.html#%E7%BC%96%E8%BE%91%E6%A0%B7%E5%BC%8F

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注