Làm cách nào để tắt CSP trong Firefox chỉ với bookmarklets?

Hôm nay tôi nhận thấy rằng tôi không thể chạy bookmarklets trên https://github.com/ do hạn chế của Chính sách bảo mật nội dung (CSP). Có cách nào để vô hiệu hóa CSP trong Firefox chỉ cho bookmarklets chứ không phải mọi thứ khác không?

Tôi nhận thấy security.csp.enabletùy chọn trong about:config, nhưng điều này sẽ vô hiệu hóa hoàn toàn CSP. Thông báo sau được ghi vào bảng điều khiển khi kích hoạt bookmarklet:

Timestamp: 04/22/2013 02:39:05 PM
Warning: CSP WARN:  Directive inline script base restriction violated

Source File: https://github.com/
Line: 0
Source Code:
javascript:...

Bạn có thể thử để chuyển đổi bookmarklets của bạn để GreaseMonkey userscripts. Họ chạy trong một môi trường đặc quyền và không phải chịu CSP.

Tuy nhiên, tất nhiên ý định của usercripts và bookmarklets là khác nhau - usercripts chạy tự động trong khi bookmarklets theo yêu cầu. Bạn có thể phá vỡ điều này, ví dụ như bằng cách tạo một <button>trong mô tả người dùng, nối nó vào trang và đặt một trình onclicklắng nghe sự kiện trên nút đó để kích hoạt mã của bookmarklet.

Mã nên đi như thế này:

// ==UserScript==
// @name            Name
// @description     Description
// @version         0.1
// @namespace       example.Lekensteyn
// @grant           none
// @include         http*://github.com/*/*/commit/*
// ==/UserScript==

var myBookmarklet = function () {
    // here goes the code of the bookmarklet
};

var newButton = document.createElement('button');
newButton.innerHTML = 'Execute my bookmarklet';

newButton.addEventListener('click', function(evt) {
    myBookmarklet();
});

document.getElementById('someElement').appendChild(newButton);

Lấy gần như theo nghĩa đen từ usercript của tôi cũng đang nhắm mục tiêu GitHub. Bạn có thể gỡ lỗi mô tả người dùng trong Fireorms bằng debugger;từ khóa trong tập lệnh.

Tuy nhiên, xin lưu ý rằng bản thân Fire hiện tại cũng phải tuân theo CSP, do đó, bạn không thể thực thi mã trong bảng điều khiển (nhưng bạn có thể kiểm tra mô tả người dùng của mình ở chế độ "chỉ đọc"). Điều này đang được quan tâm trong lỗi này .

Github nói rằng nó sẽ hoạt động theo thông số kỹ thuật, nhưng không có trình duyệt nào làm đúng:

https://github.com/blog/1477-content-security-policy#bookmarklets

Bạn nên mở một lỗi cho trình duyệt yêu thích của mình cho vấn đề này hoặc bỏ phiếu cho nó:

• Firefox: https://ormszilla.mozilla.org/show_orms.cgi?id=866522
• Chromium: https://code.google.com.vn/p/chromium/issues/detail?id=233903

Nhiều câu trả lời đề xuất các tập lệnh người dùng (như TamperMonkey hoặc GreasMonkey) nhưng tôi muốn nhớ rằng một số trang bị liệt vào danh sách đen vì một lý do bởi các tiện ích mở rộng này. (Chắc chắn, bạn có thể ghi đè danh sách đen, nhưng các nhà phát triển đã bảo mật và khóa các trang này).

Ví dụ: tôi muốn sử dụng bookmarklet để nhanh chóng truy cập ReviewMeta từ bất kỳ danh sách nào của Amazon, nhưng Amazon đã chặn các nguồn tập lệnh không an toàn (cập nhật: nó không bị chặn, nhưng tôi không có tập lệnh nào, thật đáng xấu hổ). Các phần mở rộng tập lệnh người dùng được liệt kê vào danh sách đen trên các trang web ngân hàng và mua sắm để ngăn chặn các tập lệnh người dùng độc hại được cài đặt / sử dụng.

(PS Đây không phải là câu trả lời mỗi lần nhưng tôi nghĩ sẽ rất hữu ích khi ghi nhớ điều này trước khi sử dụng bản mô tả người dùng chỉ để tìm trang bị liệt vào danh sách đen và do dự khi không liệt kê nó.)

Tôi đã tạo một "cách khắc phục" cho vấn đề này bằng cách sử dụng bản mô tả người dùng Greasemonkey (trong Firefox). Giờ đây, bạn có thể có bookmarklets trên tất cả các trang web CSP và https: //, cộng với có bookmarklets của bạn trong một tệp thư viện đẹp, dễ chỉnh sửa thay vì được đặt riêng lẻ vào một dấu trang.

Xem: https://groups.google.com/d/msg/greasemonkey-users/mw61Ynw5ORc/Gl_BNUhtSq0J

Nếu bạn muốn chạy bookmarklets của mình trên các trang web hỗ trợ CSP trong Firefox, bạn có thể sử dụng biểu định kiểu CSS, xem câu trả lời của tôi trên StackOverflow .