Kann sich der Javascript `userAgent` von der Header-Anfrage eines Browsers unterscheiden

Question

Gibt es einen plausiblen Umstand, in dem sich der von Javascript gemeldete navigatoruserAgent von dem als User-Agent Header gesendeten unterscheiden kann.

Ein Teil des Grundes, den ich stelle, ist, dass: Ich habe eine App, die den User Agent von JS sammelt, um zurück zum Server zu berichten. Es ist in den meisten legitimen Fällen nicht notwendig. Aber könnten sie sich tatsächlich unterscheiden oder lügen?

navigator.userAgent "Nur lesen" macht die Änderung unwahrscheinlich. Ich frage mich nur, ob ein Hacker oder eine Erweiterung dies tatsächlich tun könnte, in gewöhnlichen Browsern oder einem kopflosen Browser, aus welchem ​​Grund auch immer.

Answer 1

Ok, also hier ist eine Antwort aus meinen eigenen Tests und Untersuchungen. Es gibt drei Arten von Benutzeragentenunterschieden zwischen der Kopf- und der Clientseite in der freien Wildbahn:

Die kurze UA-Zeichenfolgenrichtlinie von IE sendet eine pre and post platform registry value tokens to the server to improves compatibility and network performance. Mit der erweiterten UA-Zeichenfolge, die durch navigator.userAgent bereitgestellt wird. Sie fügten dann die Fähigkeit hinzu, extension tokens hinzuzufügen.

---

Der Tor Browser für iOS sendet standardmäßig einen Windows Desktop Firefox-Benutzer-Agent. Currently: Mozilla/5.0 (Windows NT 6.1; rv:45.0) Gecko/20100101 Firefox/45.0

Javascript meldet jedoch einen generischen Safari Mobile Webansicht Benutzer Agent.

---

UCMini (U2) mit der Bitte, einen UCWeb User Agent senden, wie:

UCWEB/2.0 (iPad; U; CPU OS 7_1 like Mac OS X; en; iPad3,6) U2/1.0.0 UCBrowser/9.3.1.344

Während die Client-Seite meldet diese wackadoodle:

Mozilla/5.0 (X11; U; Linux i686; zh-CN; r:1.2.3.4) Gecko/

Answer 2

Ja. Eine Reihe von IE-Versionen berichtet zumindest Plugins nur in der Javascript-Version. https://blogs.msdn.microsoft.com/ieinternals/2009/10/07/the-user-agent-string-use-and-abuse/