首页>Firefox 专区>Firefox 扩展、插件、脚本和样式>【已放弃】能否为被CSP阻止的外部脚本添加白名单?
回复
« 返回列表
白左
白左
千年狐狸
千年狐狸
  • UID34985
  • 注册日期2010-12-29
  • 最后登录2024-12-29
  • 发帖数2039
  • 经验655枚
  • 威望0点
  • 贡献值364点
  • 好评度69点
写私信
  • 社区居民
  • 忠实会员
阅读:2647回复:4

【已放弃】能否为被CSP阻止的外部脚本添加白名单?

楼主#
更多 发布于:2017-03-21 17:55
我安装了一个油猴脚本Steam Info(代码见此
由于其运行机制是注入外部脚本,在steam商店页面被steam的Content Security Policy拒绝了

图片:2.png

那么我希望信任并运行,且仅信任并运行该脚本,有没有什么办法?
喜欢2

最新喜欢:

l10xl10x fang5566fang55...
-いたんですか? -ええ、ずっと
回复
infinity
infinity
狐狸大王
狐狸大王
  • UID48261
  • 注册日期2014-12-18
  • 最后登录2024-12-07
  • 发帖数353
  • 经验351枚
  • 威望0点
  • 贡献值96点
  • 好评度34点
写私信
  • 社区居民
  • 忠实会员
1楼#
发布于:2017-03-22 07:05
回复(1) 喜欢(0)
aaaa007cn
aaaa007cn
千年狐狸
千年狐狸
  • UID23968
  • 注册日期2008-05-03
  • 最后登录2022-03-07
  • 发帖数1924
  • 经验1138枚
  • 威望1点
  • 贡献值232点
  • 好评度164点
写私信
2楼#
发布于:2017-03-22 11:04
infinity:试试这个 https://addons.mozilla.org/en-US/firefox/addon/cors/?src=userprofile回到原帖
这扩展是全局修改 CORS(cross-origin HTTP request)头

和 CSP(Content Security Policy)不同
How To Ask Questions The Smart Way | 提问的智慧

2 + 2 = 5
回复(0) 喜欢(0)
aaaa007cn
aaaa007cn
千年狐狸
千年狐狸
  • UID23968
  • 注册日期2008-05-03
  • 最后登录2022-03-07
  • 发帖数1924
  • 经验1138枚
  • 威望1点
  • 贡献值232点
  • 好评度164点
写私信
3楼#
发布于:2017-03-22 11:15
看起来没有现成方案

想到几种 workaround
* 把代码直接写入油猴脚本,而不是用油猴脚本给页面加上外链脚本
* 修改那个 CORS 扩展,仅在 steam 商店许可 steamcn.com
* MITM 攻击 steam 商店后修改 Content-Security-Policy 头
* 本地给某个 steam 商店允许的域名起个反代,然后用某个特定 url 返回 steamcn 的脚本,类似中间人攻击
How To Ask Questions The Smart Way | 提问的智慧

2 + 2 = 5
回复(1) 喜欢(0)
白左
白左
千年狐狸
千年狐狸
  • UID34985
  • 注册日期2010-12-29
  • 最后登录2024-12-29
  • 发帖数2039
  • 经验655枚
  • 威望0点
  • 贡献值364点
  • 好评度69点
写私信
  • 社区居民
  • 忠实会员
4楼#
发布于:2017-03-22 15:17
aaaa007cn:看起来没有现成方案

想到几种 workaround
* 把代码直接写入油猴脚本,而不是用油猴脚本给页面加上外链脚本
* 修改那个 CORS 扩展,仅在 steam 商店许可 steamcn.com
* MITM 攻击 steam 商店后修...回到原帖
听起来好复杂...用方案1好了, 据说这个脚本实际上内容基本上没变过, 不知道为什么一定要用外部链接

***

试了一下,即使嵌入让其运行,其运行过程中所出现的小标签也依然由于读取了外部资源而被禁止……也就是说这个脚本从原理上就被steam否定掉了233

图片:1.png
其他方法太麻烦,放弃治疗了……
-いたんですか? -ええ、ずっと
回复(0) 喜欢(0)
游客

关于FirefoxMozilla 技术支持谋智中国手机版(Beta)了解 Mozilla

返回顶部