程序员经验分享-hwhale

如果服务器上启用了内容安全策略,如何使用小书签将脚本注入页面?

2023-12-11

我有一个书签,它使用 jQuery 并解析页面上的一些元素。为了使用 jQuery,我动态创建一个脚本标签(使用 src 作为 jQuery URL)并附加到 head 标签。这对于许多网站都很有效。但是,像 Facebook 这样的网站很少,bookmarklet 无法将外部 JS 文件注入到 dom 中。我发现这种行为是由于响应头造成的《内容安全政策》它禁止包含来自任何其他未经授权的域的脚本。这是为了禁止 XSS 攻击。

我有一个真实的案例,可以将外部 JS 文件插入到 DOM 中。是否有任何解决方法可以绕过内容安全策略?


该规范规定(至少我认为现在仍然如此)CSP 不应阻止小书签,但还没有浏览器实现了这一点。您唯一的选择是在浏览器中禁用 CSP 或使用扩展程序。

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

security

bookmarklet

Policy

contentsecuritypolicy

如果服务器上启用了内容安全策略,如何使用小书签将脚本注入页面? 的相关文章

  • 如何阻止浏览器在选项卡之间共享会话?

    How to NOT在多个浏览器选项卡之间共享会话 我在 JSP Servlet 应用程序中使用 Spring Security 我想知道 我们如何使用 Spring Security 实现用户在更改浏览器选项卡时被迫再次登录的行为 免责声

  • PHP - Paypal API 表单和安全性 [关闭]

    Closed 这个问题需要多问focused help closed questions 目前不接受答案 我在我的电子商务应用程序上使用标准 php paypal 表单进行付款 我注意到只有 firebug 的人可以在通过 立即付款 按钮发

  • 使用内容安全策略防止 Internet Explorer 11 上的内联 JavaScript

    是否可以使用 ASP NET WebForm 上的 CSP 来阻止 Internet Explorer 11 上的内联 JavaScript 我知道 IE 11 不支持内容安全策略级别 2 但它支持级别 1 0 我尝试了很多方法 但没有明确

  • “您的安全设置已阻止本地应用程序运行”Java 8

    我正在尝试在 Chrome 窗口中运行一个小小程序 但收到错误消息 我确实看到所有回复都告诉我将安全性更改为中级 但版本 8 中不存在该选项 到目前为止 几个小时的谷歌搜索和向同学寻求帮助没有带来任何进展 有人可以建议一下吗 Medium在

  • 使用openssl从服务器获取证书

    我正在尝试获取远程服务器的证书 然后可以将其添加到我的密钥库中并在我的 Java 应用程序中使用 一位高级开发人员 正在度假 告诉我我可以运行这个 openssl s client connect host host 9999 获取转储的原

  • 使用 Vue.JS 时,我们是否被迫在 CSP 中使用“unsafe-inline”?

    有没有办法让 Vue js 与 CSP 正常配合 当我运行我的spa应用程序 由npm run generate使用 Nuxt js 我会收到几个警告 例如 拒绝应用内联样式 因为它违反了以下规定 内容安全策略指令 style src se

  • 具有桌面应用程序安全性的 OAuth2

    我有一个 Electron 应用程序 它基本上是一个 Google Drive 客户端 我打算使用 OAuth 2 但是 Google API 要求我在生成 client secret 的地方注册我的应用程序 由于这是一个桌面应用程序 因此

  • .NET 声明式安全性:为什么 SecurityAction.Deny 无法使用?

    我已经搞乱了大约一天半的时间 现在正在筛选 NET Reflector 和 MSDN 文档 但无法弄清楚任何事情 在 NET 框架中 您可以通过标记如下方法来要求当前的委托人属于一个能够执行方法的角色 PrincipalPermission

  • Android应用程序中的模式输入

    我想知道是否有其他替代方案可以替代 Android 上平庸的 EditText 密码输入 是否有 API 或开源代码可以集成到我的应用程序中 类似于锁屏图案解锁 Intent 可能会返回哈希值 数字 字符串或代表用户输入的模式的任何内容 我

  • Rfc2898DeriveBytes 与密码的 Sha2 哈希生成

    我最近知道使用 SHA256 为加盐密码生成密码哈希 在阅读了一些有关加盐密码和安全性的内容后 我看到rfc2898derivebytes and passwordderivebytes NET 中的类 使用有什么好处吗rfc2898der

  • Cloud Firestore 安全规则使用的语言名称是什么?

    我想知道用于 Cloud Firestore 安全规则的语法名称 如下所述https firebase google com docs firestore security get started authuser 0 https fire

  • 用于保护网站安全(使用 SSL)时,数字证书如何工作?

    请帮助我了解整个过程是如何进行的 据我了解 Web 浏览器包含 verisign Entrust Comodo 等证书颁发机构 CA 的根证书 但是当用户访问安全页面时到底会发生什么 Web 浏览器是否向 CA 服务器发送请求来验证证书 还

  • 出于安全目的,您是否有理由不执行自己的算法来打乱 ID?

    我计划实现我自己的非常简单的 哈希 公式 为具有多个用户的应用程序添加一层安全性 我目前的计划如下 用户创建一个帐户 此时后端会生成一个 ID ID 通过公式运行 假设 ID 57 8926 36 7 或同样随机的东西 然后 我将新的用户

  • 如何检测CSRF漏洞[关闭]

    Closed 这个问题需要多问focused help closed questions 目前不接受答案 给定一个网站 如何检测潜在的 CSRF 漏洞 提前致谢 这是一个CSRF https www owasp org index php

  • 如何为移动应用程序创建无密码登录

    我有兴趣在移动应用程序和 API 之间构建某种无密码登录 假设我可以控制两者 动机是必须登录对用户来说非常烦人并且存在安全风险 例如 用户将重复使用现有密码 我希望用户能够立即开始使用该应用程序 我想知道是否有一些可行的技术 例如 在移动设

  • 为什么将 MySQL 凭据放在 www 目录之外? [复制]

    这个问题在这里已经有答案了 可能的重复 将核心类放在 Web 根目录之上 好还是坏主意 https stackoverflow com questions 3648739 putting core classes above the web

  • 将 CCtray 与 Jenkins 结合使用,同时启用安全性(使用 HTTPS)

    我将 Jenkins 服务器配置为仅使用 HTTPS 并启用安全性 我也不喜欢任何未登录的人查看仪表板 即使它是空的 在这里 我禁用了 匿名 的 读取 访问权限 到目前为止 所有这些都完全符合我的喜好 但想要通过例如向远程客户端添加一些构建

  • 什么是 API 密钥? [关闭]

    Closed 这个问题需要多问focused help closed questions 目前不接受答案 如今 我几乎在每个跨服务应用程序中都看到这个词 API 密钥到底是什么以及它的用途是什么 另外 公共 API 密钥和私有 API 密钥

  • 使用 Javascript eval() 100% 安全吗?

    我正在编写一个生成 Javascript 代码的 PHP 库 Javascript 代码有许多名为component001 component002 etc 页面通过 AJAX 动态加载 我需要通过 URL 变量传递组件的名称 然后由脚本进

  • Keystore getEntry 在 Android 9 上返回 NULL

    c我已对存储在 Android 密钥库中的登录密码进行了加密和解密 在 Android 9 上 我观察到应用程序在尝试解密密码时崩溃 我无法重现它 但拥有 Pixel 3 的用户是崩溃的设备之一 下面是我如何从密钥库解密密码 private

随机推荐

  • 无法在 Cloudfront 层上的 Lambda + API Gateway + Cloudfront 上启用 CORS

    我部署了一个 lambda 它本身返回一个 Access Control Allow Origin 其响应中的标头 我从 API 网关调用它 调用API网关URL时 CORS配置即可 我将 CloudFront 放在 API 前面 但是现在

  • 为 Zend Framework 2 中的所有模块设置通用布局

    我正在开发一个 ZF2 项目 我的目录中有一些模块 module module1 module module2 module module3 module module4 但是 在每个模块中我也分别有特定的布局 module module1

  • Azure 市场:是否可以在托管应用程序产品中使用图像?

    我创建了 Azure 托管应用程序 我在中使用了托管图像mainTemplate json创建新的虚拟机 例如 type Microsoft Compute images apiVersion 2018 04 01 name front i

  • 使用相同的输入在 codeigniter 中上传多个图像

    views

  • boost::asio::streambuf::consume - 注入垃圾字符

    当我失去连接时 在我的服务器代码中 我会尝试永远重新连接 重新连接后 我会向我连接的组件发送一条登录消息 然后该组件发回一个类似于 MyResponse 的登录响应 初始连接工作正常 然而 重新连接后 我在预期消息之前收到垃圾信息 如下所示

  • 根据最大字符长度拆分字符串,但要考虑单词

    因此 在我的程序中 我可以接收各种长度的字符串并将它们发送出去以进行翻译 如果这些字符串具有一定的字符长度 我会收到错误 因此我想在此之前检查并拆分这些字符串 如果有必要 但我不能只在单词中间分割字符串 单词本身也需要完整并考虑在内 例如

  • MySQL INSERT SELECT - 重复行

    我想做一个像这样的 INSERT SELECT 查询 INSERT INTO tableName SELECT FROM anotherTable 问题是 当它发现重复值时 整个事情都会停止 实际上我只是希望它继续并跳过重复项 我知道我可以

  • Postgresql中如何检查字段是否包含字母?

    我的 Postgresql 数据库上有一个文本字段 我只想存储数字字符和特殊字符 例如 和 并且我必须从数据库中删除包含字母的所有行 我该如何做到这一点 即查找指定字段上包含字母的所有行 Using PostgreSQL 正则表达式 该代码

  • 等待后不执行异步/等待代码

    我一直在讨论异步 等待 我尝试了一些简单的例子 但无法理解 async 和 wait 的流程 在下面的代码中 function wait ms return new Promise r gt setTimeout function cons

  • C# - 排序 datagridview 时出现问题

    我苦苦寻找问题的答案 我开发了一个带有一些 datagridview 的 C Winforms 程序 问题是我希望用户能够通过单击列标题对 datagridview 进行排序 我认为这将是标准的 但它就是行不通 我尝试了 dgv Sort

  • 不同国家、州、地理位置的动态下拉列表?

    我让我的用户输入他们的城市 州和国家 但我的困境是如何动态管理它 以便我可以控制输入的内容 同时保持正确的拼写和格式 例如 我目前每个州都有一个静态下拉列表

  • 当没有输入具有焦点时,Javascript 捕获输入

    我有条形码扫描仪 有时用户想通过条形码搜索物品 但他够懒 根本不想用鼠标点击输入 扫描仪通常输入 8 到 13 个符号的速度非常快 没有人类打字这么快 这将是完美的解决方案 1 检测极端输入 如果页面上没有输入元素具有焦点 2 则选择具有特

  • 用于动态生成内容的 GWT 国际化

    对于我的大部分应用程序 我可以使用推荐的国际化技术 如https developers google com web toolkit doc latest DevGuideI18n 主要是UIBinder方法 我目前正在使用单个小部件 该小

  • 我可以使用c++编译器来编译c源代码吗? [复制]

    这个问题在这里已经有答案了 可能的重复 使用 C 编译器编译 C 代码会出现哪些问题 只是好奇我是否可以使用c 编译器来编译c源代码 无论如何 有没有完全支持c99标准的编译器 C is notC 的超集 它们有一些不同的地方 这意味着某些

  • 使用绘图时图例中的颜色条

    这是我的数据 set seed 42 mydata data frame A rnorm 20 B rnorm 20 Index sample 190 400 20 我试图根据以下内容将数据分为 20 个不同的区间Index值 然后根据它们

  • 调整无边框表单的大小,该表单到处都有控件,没有空白区域

    我有一个程序有FormBorderStyle set to None 我一直在网上查找并找到了用于调整表单大小的工作代码 但它仅在表单有没有控件的空白空间时才有效 我的整个表单充满了控件 每个边缘都有控件 而且我无法在边缘留出空间 有没有办

  • WPF Datagrid 分组和排序

    我正在 WPF 数据网格中实现分组 我想对分组的项目进行排序 例如 数据网格有四列 empno name dept address 我正在按部门列进行分组 当我单击部门列标题时 我想对分组的项目进行排序 在这里 我使用 ListCollec

  • jQuery 验证插件:字段成功验证的回调?

    我正在使用 errorPlacement 将类添加到标签中 以显示除错误文本之外的图形元素 它们都是不同的元素 有没有办法使用在字段验证成功时触发的回调 我已经在使用 validClass 这将更改错误消息 但我需要回调 以便我可以将图形元

  • 在android中动态添加布局到adapter的getview方法中

    我想在列表视图的每一行中显示 N 个图像视图 imageview的数量取决于json解析值 每次我从服务器获取 json 时 它可能是 2 3 或 4 所以我不能通过使用 inflate so 我决定在 getview 方法中创建动态视图并

  • 如果服务器上启用了内容安全策略,如何使用小书签将脚本注入页面?

    我有一个书签 它使用 jQuery 并解析页面上的一些元素 为了使用 jQuery 我动态创建一个脚本标签 使用 src 作为 jQuery URL 并附加到 head 标签 这对于许多网站都很有效 但是 像 Facebook 这样的网站很

热门标签