allegro blokuje skryptozakładki

0

Skryptozakładka:

javascript:alert(123);

Firefox 52
Na innych stronach działa. Na stronie Allegro generuje komunikat błędu:

Content Security Policy: Ustawienia strony zablokowały wczytanie zasobu „self” („script-src https://cdn.ampproject.org/v0.js https://cdn.ampproject.org/v0/ https://cdn.ampproject.org/viewer/ https://cdn.ampproject.org/rtv/ https://ngastatic.com https://www.googletagmanager.com https://assets.allegrostatic.com https://adservice.google.pl https://adservice.google.com https://securepubads.g.doubleclick.net https://ad.doubleclick.net https://allegro.hit.gemius.pl https://connect.facebook.net https://nebula-cdn.kampyle.com https://www.googletagservices.com https://www.gstatic.com/recaptcha/ https://www.google.com/recaptcha/ https://www.youtube.com https://player.vimeo.com https://www.googleadservices.com https://s.ytimg.com https://www.google-analytics.com https://secure.payu.com https://maps.googleapis.com 'nonce-CyBZRn+11TNL2KRTpMgBMg==' 'unsafe-inline' 'unsafe-eval' 'strict-dynamic'”).

No i zgłupiałam, bo do tej pory uważałam, że skryptozakładka działa tak samo, jak polecenie wpisane z konsoli.
BTW: odpalenie js z konsoli nadal działa.

Pytania:
Jak oni to w ogóle zrobili?
Można to obejść bez angażowania np. Greasemonkey?

3

Wystarczy dodać odpowiedni nagłówek Content-Security-Policy: https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP
Nawet nie wiem czy Greasemonkey tutaj zadziała, z tego co rozumiem to - nie
Tym bardziej nie można tego wyłączyć z poziomu skryptozakładki bo to przede wszystkim w ochronie przed skryptozakładkami powstało

Musiałbyś wyłączyć walidację CSP na poziomie przeglądarki - dla chrome na przykład to rozszerzenie https://chrome.google.com/webstore/detail/always-disable-content-se/ffelghdomoehpceihalcnbmnodohkibj?hl=en
dla firefox w about:config ustawienie security.csp.enable

0

Dzięki. Greasemonkey na szczęście daje radę, więc użyję GM, żeby dorobić sobie do Allegro własny pasek narzędziowy i efekt będzie podobny.

1 użytkowników online, w tym zalogowanych: 0, gości: 1