BURP 代理允许您修改浏览器发出的 http 请求以及 http 响应。使用此工具，您可以修改 JavaScript 或修改 JavaScript 发出的请求以攻击服务器端系统。

您还可以使用 Chrome 的开发人员工具或firebug for firefox编辑 JavaScript 。

我假设您不是指 MITM 攻击，因为如果有人处于中间情况，则很少需要在传输过程中修改 Javascript，因为中间人可以将服务器模拟给客户端，反之亦然。

如果您指的是为什么不能使用客户端 JS 进行验证，请记住客户端不受信任。客户可以为所欲为；服务器必须保护自己。

它可能很简单：

1. 将网页下载为 html 和/或 js。
2. 随心所欲地改变。
3. 在浏览器中打开。

无需复杂的工具；只是一个浏览器和记事本。

当然，如果有人想直接编写他们的 HTTP 代码，他们可以完全放弃 Javascript，直接向服务器发送恶意查询。