Jak wyłączyć CSP w Firefoksie tylko dla bookmarkletów?

Dzisiaj zauważyłem, że nie jestem w stanie uruchomić bookmarkletów na https://github.com/ z powodu ograniczeń Content Security Policy (CSP). Czy istnieje sposób na wyłączenie CSP w Firefoksie tylko dla bookmarketów, a nie wszystkiego innego?

Zauważyłem security.csp.enableopcję w about:config, ale to całkowicie wyłączałoby CSP. Następujący komunikat jest rejestrowany w konsoli podczas aktywacji bookmarkletu:

Timestamp: 04/22/2013 02:39:05 PM
Warning: CSP WARN:  Directive inline script base restriction violated

Source File: https://github.com/
Line: 0
Source Code:
javascript:...

Możesz spróbować przekonwertować swoje bookmarklety na skrypty użytkownika GreaseMonkey. Działają w uprzywilejowanym środowisku i nie podlegają CSP.

Jednak oczywiście zamierzenia skryptów użytkownika i skryptozakładek są różne - skrypty użytkownika uruchamiają się automatycznie, a skryptozakładki na żądanie. Możesz to obejść, np. Tworząc <button>skrypt użytkownika, dołączając go do strony i ustawiając onclickdetektor zdarzeń na tym przycisku, aby uruchamiał kod bookmarkletu.

Kod powinien wyglądać następująco:

// ==UserScript==
// @name            Name
// @description     Description
// @version         0.1
// @namespace       example.Lekensteyn
// @grant           none
// @include         http*://github.com/*/*/commit/*
// ==/UserScript==

var myBookmarklet = function () {
    // here goes the code of the bookmarklet
};

var newButton = document.createElement('button');
newButton.innerHTML = 'Execute my bookmarklet';

newButton.addEventListener('click', function(evt) {
    myBookmarklet();
});

document.getElementById('someElement').appendChild(newButton);

Zaczerpnąłem prawie dosłownie z mojego skryptu użytkownika, który jest również skierowany do GitHub. Możesz debugować skrypty użytkownika w Firebug za pomocą debugger;słowa kluczowego w skrypcie.

Zauważ jednak, że sam Firebug również podlega CSP, więc nie możesz np. Wykonywać kodu w konsoli (ale możesz sprawdzać skrypty użytkowników w trybie „tylko do odczytu”). Ten błąd rozwiązuje ten problem .

Github mówi, że powinien działać zgodnie ze specyfikacją, ale żadna przeglądarka nie działa poprawnie:

https://github.com/blog/1477-content-security-policy#bookmarklets

Powinieneś otworzyć błąd w swojej ulubionej przeglądarce dotyczący tego problemu lub zagłosować na:

• Firefox: https://bugzilla.mozilla.org/show_bug.cgi?id=866522
• Chromium: https://code.google.com/p/chromium/issues/detail?id=233903

Wiele odpowiedzi poleca skrypty użytkownika (takie jak TamperMonkey lub GreaseMonkey), ale chcę pamiętać, że niektóre strony znajdują się na czarnej liście z jakiegoś powodu z powodu tych rozszerzeń. (Oczywiście, możesz zastąpić czarną listę, ale twórcy mieli na myśli bezpieczeństwo i zablokowali te strony).

Na przykład chciałem użyć bookmarkletu, aby szybko przejść do ReviewMeta z dowolnego wpisu Amazon, ale Amazon zablokował niezabezpieczone źródła skryptów (aktualizacja: nie został zablokowany, ale nie miałem włączonego skryptu, szkoda). Rozszerzenia skryptów użytkownika są domyślnie umieszczone na czarnej liście w witrynach bankowych i sklepowych, aby zapobiec instalowaniu / używaniu skryptów złośliwych użytkowników.

(PS. Nie jest to odpowiedź sama w sobie, ale pomyślałem, że warto o tym pamiętać, zanim zdobędziesz skrypt użytkownika, aby znaleźć stronę na czarnej liście i waham się przed jej usunięciem z listy).

Utworzyłem obejście tego problemu za pomocą skryptu użytkownika Greasemonkey (w przeglądarce Firefox). Możesz teraz mieć bookmarklety na wszystkich stronach CSP i https: //, a także mieć bookmarklety w ładnym, łatwo edytowalnym pliku bibliotecznym, zamiast być pojedynczo ułożonymi w zakładkę.

Zobacz: https://groups.google.com/d/msg/greasemonkey-users/mw61Ynw5ORc/Gl_BNUhtSq0J

Jeśli chcesz uruchomić swoje bookmarklety na stronach internetowych obsługujących CSP w Firefoksie, możesz użyć arkuszy stylów CSS, zobacz moją odpowiedź na StackOverflow .