任何可以访问 DOM 的扩展都可以通过拦截调用来读取写入控制台的任何内容。控制台是一个 JavaScript 对象；代理对 console.log 的调用很简单，就像Stack Overflow 上 zzzzBov 的这个例子：

(function () {
  var log = console.log;
  console.log = function () {
    log.call(this, 'My Console!!!');
    log.apply(this, Array.prototype.slice.call(arguments));
  };
}());

但是我应该注意，拦截 console.log 不一定是您应该担心的。如果攻击者能够在您的浏览器中运行他们自己的代码，那么无论银行是否使用 console.log，他们都可以做很多坏事。有关更多信息，请参阅此问题：Chrome 扩展程序对“您在所有网站上的数据”能做什么

但话虽如此，如果他们在生产站点中留下了 console.log 语句，那就是代码异味。