最近在制作用户脚本... 制作中发现一些网站在请求中加入了CSP(Content-Security-Policy)请求头 导致任何插件注入的脚本只要一执行DOM操作就会无法正常运行...更不用说通过暴力猴运行的脚本 报错Refused to execute inline script because it violates the following Content Security Policy directive 分析后认为这不是通过修改插件能够解决的...而是需要更加强大的插件接口 Chrome插件的解决方法也验证了这点: 通过Chrome提供监听chrome.webRequest.onHeadersReceived在接收请求头时去掉或修改CSP头 TamperMonkey通过修改CSP 独立插件"Disable Content-Security-Policy"则直接去掉CSP头 虽然去掉CSP头有被注入的风险...但我更愿意给予本地脚本一个完美运行的机会 不能操作网页对于DIY用户注定是一个大遗憾...我希望有生之年能看更强大的傲游插件接口 |
个人感觉目前不太可能会在插件接口上会有新的开发,毕竟MX5还有很多地方都需要继续改进 这个插件的API就算要有新的改进也要排到后面了 CSP的问题我个人也迫切需要…… |