白左
千年狐狸
千年狐狸
  • UID34985
  • 注册日期2010-12-29
  • 最后登录2023-11-13
  • 发帖数2039
  • 经验655枚
  • 威望0点
  • 贡献值364点
  • 好评度69点
  • 社区居民
  • 忠实会员
阅读:2070回复:4

【已放弃】能否为被CSP阻止的外部脚本添加白名单?

楼主#
更多 发布于:2017-03-21 17:55
我安装了一个油猴脚本Steam Info(代码见此
由于其运行机制是注入外部脚本,在steam商店页面被steam的Content Security Policy拒绝了

图片:2.png



那么我希望信任并运行,且仅信任并运行该脚本,有没有什么办法?

最新喜欢:

l10xl10x fang5566fang55...
-いたんですか? -ええ、ずっと
infinity
狐狸大王
狐狸大王
  • UID48261
  • 注册日期2014-12-18
  • 最后登录2023-03-15
  • 发帖数352
  • 经验350枚
  • 威望0点
  • 贡献值96点
  • 好评度34点
  • 社区居民
  • 忠实会员
1楼#
发布于:2017-03-22 07:05
aaaa007cn
千年狐狸
千年狐狸
  • UID23968
  • 注册日期2008-05-03
  • 最后登录2022-03-07
  • 发帖数1924
  • 经验1138枚
  • 威望1点
  • 贡献值232点
  • 好评度164点
2楼#
发布于:2017-03-22 11:04
infinity:试试这个 https://addons.mozilla.org/en-US/firefox/addon/cors/?src=userprofile回到原帖
这扩展是全局修改 CORS(cross-origin HTTP request)头

和 CSP(Content Security Policy)不同
aaaa007cn
千年狐狸
千年狐狸
  • UID23968
  • 注册日期2008-05-03
  • 最后登录2022-03-07
  • 发帖数1924
  • 经验1138枚
  • 威望1点
  • 贡献值232点
  • 好评度164点
3楼#
发布于:2017-03-22 11:15
看起来没有现成方案

想到几种 workaround
* 把代码直接写入油猴脚本,而不是用油猴脚本给页面加上外链脚本
* 修改那个 CORS 扩展,仅在 steam 商店许可 steamcn.com
* MITM 攻击 steam 商店后修改 Content-Security-Policy 头
* 本地给某个 steam 商店允许的域名起个反代,然后用某个特定 url 返回 steamcn 的脚本,类似中间人攻击
白左
千年狐狸
千年狐狸
  • UID34985
  • 注册日期2010-12-29
  • 最后登录2023-11-13
  • 发帖数2039
  • 经验655枚
  • 威望0点
  • 贡献值364点
  • 好评度69点
  • 社区居民
  • 忠实会员
4楼#
发布于:2017-03-22 15:17
aaaa007cn:看起来没有现成方案

想到几种 workaround
* 把代码直接写入油猴脚本,而不是用油猴脚本给页面加上外链脚本
* 修改那个 CORS 扩展,仅在 steam 商店许可 steamcn.com
* MITM 攻击 steam 商店后修...
回到原帖
听起来好复杂...用方案1好了, 据说这个脚本实际上内容基本上没变过, 不知道为什么一定要用外部链接

***

试了一下,即使嵌入让其运行,其运行过程中所出现的小标签也依然由于读取了外部资源而被禁止……也就是说这个脚本从原理上就被steam否定掉了233

图片:1.png


其他方法太麻烦,放弃治疗了……
-いたんですか? -ええ、ずっと
游客

返回顶部