注册
登录
大数据安全
在响应接收时使用JS(chrome扩展名)修改
标记
返回
在响应接收时使用JS(chrome扩展名)修改
标记
作者:
机器设备维修
发布时间:
2025-02-06 08:14:15 (9天前)
转自:
<div class =“excerpt”> 那个页面。显然,XSS问题和扩展需要遵守内容 <span class =“result-highlight”> 安全 </跨度> 该页面的政策。 以前我必须处理通过请求头传递的CSP指令and,并且能够通过在chrome.webRequest.onHeadersReceived中设置一个钩子来覆盖它们。在那里我将主机URL添加到内容中 - <span class =“result-highlight”> 安全 </跨度> -policy标头。有效。标题被替换,新的 </DIV>
收藏
举报
2 条回复
0#
回复此人
v-star*위위
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 截至2018年3月,Chromium不允许修改请求的responseBody。 <a href="https://bugs.chromium.org/p/chromium/issues/detail?id=487422#c29" rel="nofollow noreferrer"> https://bugs.chromium.org/p/chromium/issues/detail?id=487422#c29 </A> </p> <P> “WebRequest API:允许读取响应主体的扩展”是从2015年开始的一张票。它不是一个需要解决的路径,需要一些工作/帮助。 </p> <P> - </p> <P> Firefox具有webRequest过滤器实现,允许在应用页面的元指令之前修改响应主体。 <a href="https://developer.mozilla.org/en-US/Add-ons/WebExtensions/API/webRequest/filterResponseData" rel="nofollow noreferrer"> https://developer.mozilla.org/en-US/Add-ons/WebExtensions/API/webRequest/filterResponseData </A> 但是,我的问题主要集中在修复Chrome扩展程序。也许Chrome有一天会选择这个。 </p> <P> - </p> <P> 总的来说,Chrome的扩展构建框架似乎不是构建长期生活软件的可靠途径;浏览器供应商经常更改规则,对新发现的威胁做出反应,没有最新支持的跨浏览器标准。 </p> <P> - </p> <P> 在我的例子中,解决这个问题的可能方法是将所有JS代码放入扩展的源代码库中。这样就没有第三方连接到获取和执行JS(并与/违反CSP规则冲突)。还没有探索过这个,因为我希望重用代码&amp;我在主浏览器应用程序中使用的交互式组件。 </p> </DIV>
编辑
登录
后才能参与评论
