PiT*_*ber 19 javascript security firefox mozilla content-security-policy
Mozillas CSP是否会阻止默认情况下从书签执行Javascript?
可以这样配置吗?
Wla*_*ant 19
截至2017年,答案仍然是一个明确的"可能" - 就像这个答案最初发布于2011年时一样.规范明确指出:
对资源强制执行的策略不应干扰用户代理功能(如插件,扩展或bookmarklet)的操作.
这确实是我在Chrome 61中看到的行为:书签将在https://addons.mozilla.org/上运行,该网站具有严格的内容安全策略script-src: 'unsafe-inline'.然而在Firefox 56中,bookmarklet将无法在此网站上运行,并且正在报告CSP违规.
Firefox错误报告中对此问题进行了长时间的讨论,特别是关于W3C规范的类似讨论.到目前为止,您无法真正依赖不受CSP影响的bookmarklet.您可以随时禁用CSP,但这对您来说是一个重要的保护层.
该行为在mozillas wiki中指定.
CSP不应干扰用户提供的脚本(例如浏览器加载项和bookmarklet)的操作.
看看这里: https://wiki.mozilla.org/Security/CSP/Specification#Non-Normative_Client-Side_Considerations