Як відключити CSP у Firefox лише для закладок?

Сьогодні я помітив, що не можу запускати закладки на https://github.com/ через обмеження політики безпеки вмісту (CSP). Чи є спосіб відключити CSP у Firefox лише для закладок, а не для всього іншого?

Я помітив security.csp.enableваріант в about:config, але це повністю відключить CSP. Наступне повідомлення реєструється для консолі під час активації закладок:

Timestamp: 04/22/2013 02:39:05 PM
Warning: CSP WARN:  Directive inline script base restriction violated

Source File: https://github.com/
Line: 0
Source Code:
javascript:...

Ви можете спробувати перетворити закладки в сценарії користувачів GreaseMonkey . Вони працюють у пільговому середовищі та не підлягають CSP.

Однак, звичайно, наміри користувацьких скриптів та закладок відрізняються - користувацькі сценарії запускаються автоматично, тоді як закладки на вимогу. Ви можете обійти це, наприклад, створивши <button>в usercript, додавши його на сторінку та встановивши onclickна цю кнопку слухача подій, щоб запустити код закладок.

Код повинен мати такий вигляд:

// ==UserScript==
// @name            Name
// @description     Description
// @version         0.1
// @namespace       example.Lekensteyn
// @grant           none
// @include         http*://github.com/*/*/commit/*
// ==/UserScript==

var myBookmarklet = function () {
    // here goes the code of the bookmarklet
};

var newButton = document.createElement('button');
newButton.innerHTML = 'Execute my bookmarklet';

newButton.addEventListener('click', function(evt) {
    myBookmarklet();
});

document.getElementById('someElement').appendChild(newButton);

Взяте майже буквально з мого користувача, який також націлений на GitHub. Ви можете налагоджувати сценарії користувачів у Firebug, використовуючи debugger;ключове слово у сценарії.

Зауважте, однак, що сама Firebug наразі також підпадає під дію CSP, тому ви не можете, наприклад, виконувати код у консолі (але ви можете перевіряти свої сценарії користувачів у режимі "лише для читання"). Про це дбають у цій помилці .

Github каже, що вона повинна працювати відповідно до специфікації, але жоден браузер не підходить правильно:

https://github.com/blog/1477-content-security-policy#bookmarklets

Ви повинні відкрити помилку улюбленого веб-переглядача для цієї проблеми або проголосувати за нього:

• Firefox: https://bugzilla.mozilla.org/show_bug.cgi?id=866522
• Хром: https://code.google.com/p/chromium/isissue/detail?id=233903

Багато відповідей рекомендують сценарії користувачів (наприклад, TamperMonkey або GreaseMonkey), але я хочу пам’ятати, що деякі сторінки в чорний список є причиною цих розширень. (Звичайно, ви можете перекрити чорний список, але чорти мали на увазі безпеку і заблокували ці сторінки).

Наприклад, я хотів за допомогою закладки швидко перейти до ReviewMeta з будь-якого списку Amazon, але Amazon заблокував незахищені джерела сценаріїв (оновлення: не було заблоковано, але у мене не було сценарію, прикро). Розширення сценаріїв користувачів за замовчуванням перебувають у чорному списку на банківських та торгових сайтах, щоб запобігти встановленню / використанню зловмисних сценаріїв користувачів.

(PS Це не відповідь сама по собі, але я вважав, що було б корисно пам’ятати про це, перш ніж переглядати користувальницький сценарій, просто щоб знайти сторінку у чорному списку та вагаючись із тим, як її зняти з чорного списку.)

Я створив "вирішення" цієї проблеми, використовуючи сценарій користувача Greasemonkey (у Firefox). Тепер ви можете мати закладки на всіх веб-сайтах CSP і https: //, а також мати закладки у приємному, легко редагованому файлі бібліотеки, а не окремо розміщуватись у закладку.

Дивіться: https://groups.google.com/d/msg/greasemonkey-users/mw61Ynw5ORc/Gl_BNUhtSq0J

Якщо ви хочете запускати свої закладки на веб-сайтах з підтримкою CSP у Firefox, ви можете використовувати таблиці стилів CSS, дивіться мою відповідь на StackOverflow .