內容安全策略是否阻止書籤？

Question

默認情況下，Mozillas CSP塊是否執行Javascript from a bookmark？

它可以這樣配置嗎？

Answer 1

截至2017年，答案仍然是明確的：「也許」 - 就在這個答案最初發佈於2011年像的specification明確表示：

政策執行上的資源不應該與干擾用戶代理功能（如插件，擴展或書籤）的操作。

而且這確實是我在Chrome 61看到的行爲：一個書籤將在https://addons.mozilla.org/運行，有沒有script-src: 'unsafe-inline'嚴格的內容安全策略的站點。然而，在Firefox 56書籤將不會運行在這個網站上，並且正在報告CSP違規。

在Firefox bug report中對此問題有很長的討論，特別是鏈接到similar discussion on the W3C spec。因此，截至目前，您不能真正依賴書籤小程序不受CSP影響。你總是可以禁用CSP，但這對你來說是一個重要的保護層。

Answer 2

該行爲在mozillas wiki中指定。

CSP不應干擾用戶提供的腳本（如瀏覽器加載項和書籤）的操作。

看一看這裏： https://wiki.mozilla.org/Security/CSP/Specification#Non-Normative_Client-Side_Considerations

Answer 3

是，在Mozilla Firefox的CSP塊的bookmarklet。有一個bug about it。

但是，您可以通過注入JS代碼到外部CSS樣式表，就像我Top News Feed bookmarklet繞開這個限制作用：

外部CSS：

#topnewsfeed { font-family: '(function(){/*payload*/})()'; } 

小書籤JS：

(function() { 
    var a = document.createElement("link"); 
    a.rel = "stylesheet"; 
    a.href = "//niutech.github.io/topnewsfeed/topnewsfeed.css"; 
    a.onload = function() { 
     var a = b.currentStyle ? b.currentStyle.fontFamily : document.defaultView.getComputedStyle(b, null).fontFamily; 
     eval(a.replace(/^["']|\\|["']$/g, "")); 
    }; 
    document.body.appendChild(a); 
    var b = document.createElement("div"); 
    b.id = "topnewsfeed"; 
    document.body.appendChild(b); 
})() 

bookmarklet加載一個包含JS代碼的CSS文件，添加一個由此CSS設計的元素，讀取元素樣式屬性和eval的代碼。

Answer 4

我已經使用Greasemonkey userscript（在Firefox中）爲此問題創建瞭解決方法「修復」。現在，您可以在所有CSP和https：//網站上擁有小書籤，並且可以將書籤放在一個漂亮，易於編輯的庫文件中，而不是單獨擠壓成書籤。

請參閱：https://groups.google.com/d/msg/greasemonkey-users/mw61Ynw5ORc/Gl_BNUhtSq0J