Skryptozakładka:
javascript:alert(123);
Firefox 52
Na innych stronach działa. Na stronie Allegro generuje komunikat błędu:
Content Security Policy: Ustawienia strony zablokowały wczytanie zasobu „self” („script-src https://cdn.ampproject.org/v0.js https://cdn.ampproject.org/v0/ https://cdn.ampproject.org/viewer/ https://cdn.ampproject.org/rtv/ https://ngastatic.com https://www.googletagmanager.com https://assets.allegrostatic.com https://adservice.google.pl https://adservice.google.com https://securepubads.g.doubleclick.net https://ad.doubleclick.net https://allegro.hit.gemius.pl https://connect.facebook.net https://nebula-cdn.kampyle.com https://www.googletagservices.com https://www.gstatic.com/recaptcha/ https://www.google.com/recaptcha/ https://www.youtube.com https://player.vimeo.com https://www.googleadservices.com https://s.ytimg.com https://www.google-analytics.com https://secure.payu.com https://maps.googleapis.com 'nonce-CyBZRn+11TNL2KRTpMgBMg==' 'unsafe-inline' 'unsafe-eval' 'strict-dynamic'”).
No i zgłupiałam, bo do tej pory uważałam, że skryptozakładka działa tak samo, jak polecenie wpisane z konsoli.
BTW: odpalenie js z konsoli nadal działa.
Pytania:
Jak oni to w ogóle zrobili?
Można to obejść bez angażowania np. Greasemonkey?