文章总结： 文档记录作者在BurpSuite安全测试中发现异常404JS请求，经排查确认是SourceDetector插件后台自动fetchJS/CSS资源导致代理流量污染。关键发现包括：异常请求特征为根路径404、不显示在DevTools但经过代理；解决措施是修改插件默认关闭自动获取sourcemap功能，并建议安全测试时优先禁用此类插件以保证流量纯净。 综合评分： 72 文章分类： 安全工具,WEB安全,实战经验,渗透测试,安全运营

Source Detector纯啥吊插件

小狗安全

2026年6月15日 17:29 广东

在小说阅读器读本章

去阅读

今天差点被 Burp 里的 404 JS 请求气笑了。

目标站正常访问，页面 DevTools 里也没看到异常请求，但 Burp Logger 里却一直冒出这种东西：

GET /CallbackView-B6Zh-rk5.js HTTP/1.1
Host:

状态码 404，刷一遍页面冒一堆。

更离谱的是，正确路径明明应该是：

/assets/CallbackView-B6Zh-rk5.js

也就是说，正常页面资源在 /assets/ 下，结果 Burp 里莫名其妙多出来一堆根路径 JS 请求。

这不是网站正常行为，这是有人在背后瞎搞。

一开始怀疑 FindSomething

最开始我怀疑 FindSomething。

因为它确实有自动分析页面资源的行为，而且即使没开会员，也可能跑基础扫描逻辑。会员、Vue 分析这种功能看起来就很容易把页面资源扒一遍。

于是我把 FindSomething 关了。

结果呢？

Burp 继续冒 404。

行，不是它，至少不是当前这批请求的直接来源。

然后怀疑 SnowEyes

接着看 SnowEyes。

这个更像。它的代码里确实有问题：把 ./CallbackView-B6Zh-rk5.js 这种相对路径拿页面 origin 去拼，直接拼成了：

/CallbackView-B6Zh-rk5.js

这就是错的。正常应该相对 /assets/index-xxx.js 去解析，结果它硬生生解析到了站点根目录。

这种逻辑说难听点就是乱来。

我把 SnowEyes 也关了。

结果呢？

Burp 还是继续冒 404。

这时候就很火大了：两个嫌疑插件都关了，Burp 里还在刷，说明还有别的扩展在后台偷偷发请求。

关键证据：页面 DevTools 没有，Burp 有

这里有一个非常关键的点：

Chrome 页面 DevTools 的 Network 里，没有这个根路径 404。

Burp 里有。

而这些 404 请求的特征也很明显：

Sec-Fetch-Site: none
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty

没有 Referer，还带着 Chrome UA 和 Cookie。

这基本就不是页面自己发的请求，而是浏览器扩展后台、Service Worker、插件脚本这种东西在发。也就是说，它不出现在页面 Network 里，但会经过 Chrome 代理，所以 Burp 能抓到。

这就很恶心。

你以为你在看网站流量，实际上你在看一堆插件制造出来的垃圾噪音。

Wappalyzer 也关了，还是不行

为了排除，我又关了 Wappalyzer。

结果 404 仍然继续。

所以 Wappalyzer 不是主因。

最后锁定 Source Detector

最后关掉 Source Detector。

世界清净了。

连续刷新页面后，Burp 里只剩正常请求：

/assets/...
/api/...
图片
字体
CSS
正常 JS

没有新的：

/CallbackView-B6Zh-rk5.js

这就很清楚了。

在我的环境里，这一轮持续刷 404 的罪魁祸首就是 Source Detector。

它到底干了什么蠢事？

Source Detector 的后台脚本会监听 JS/CSS 请求：

browserAPI.webRequest.onCompleted.addListener(...)

然后只要看到 .js 或 .css，就后台再来一次：

fetch(details.url)

目的大概是读取文件内容，从最后一行找：

sourceMappingURL

听起来好像很合理，对吧？

但问题是：你他妈这是浏览器扩展，不是隐身人。

你后台 fetch 一次，Burp 就多一条请求。你监听全站 JS/CSS，再挨个 fetch，Burp 里就被你塞满垃圾流量。对于做安全测试、接口分析、漏洞验证的人来说，这就是污染现场。

更烦的是，这种请求不出现在页面 DevTools 里。普通排查会被绕进去，以为是页面代码、站点资源、前端构建，甚至目标系统的问题。

结果查半天，是插件自己在后台作妖。

我最后怎么改的

我把 Source Detector 的后台逻辑改了。

核心原则很简单：

默认不要自动 fetch 页面 JS/CSS。

现在它仍然可以监听页面请求，但默认配置下会直接返回：

if (!autoFetchSourceMaps) {
    return;
}

我还加了一个设置项：

Auto-fetch JS/CSS for source maps

默认关闭。

也就是说，平时尤其是 Burp 抓包时，它不应该再制造额外 JS 请求。如果真有人想让它自动扒 sourcemap，可以自己去设置里手动打开。

结论

这次排查下来，我只想说一句：

浏览器插件别他妈在后台乱 fetch。

尤其是安全测试环境里，Burp 的流量应该尽量接近真实页面行为。插件如果为了“方便分析”就在后台自动请求 JS/CSS，那它不是辅助工具，它就是噪音制造机。

这次的结论：Source Detector纯啥吊插件

以后 Burp 抓包前，第一件事不是看目标站有没有问题，而是先把这些“自作聪明”的插件全关掉。

否则你抓到的不是目标站流量，是插件屎山在你代理里拉出来的噪音。

• END –

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：小狗安全 《Source Detector纯啥吊插件》