我有一个书签,它使用 jQuery 并解析页面上的一些元素。为了使用 jQuery,我动态创建一个脚本标签(使用 src 作为 jQuery URL)并附加到 head 标签。这对于许多网站都很有效。但是,像 Facebook 这样的网站很少,bookmarklet 无法将外部 JS 文件注入到 dom 中。我发现这种行为是由于响应头造成的《内容安全政策》它禁止包含来自任何其他未经授权的域的脚本。这是为了禁止 XSS 攻击。
我有一个真实的案例,可以将外部 JS 文件插入到 DOM 中。是否有任何解决方法可以绕过内容安全策略?
该规范规定(至少我认为现在仍然如此)CSP 不应阻止小书签,但还没有浏览器实现了这一点。您唯一的选择是在浏览器中禁用 CSP 或使用扩展程序。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)