「折腾」使用浏览器自带功能修改网站「响应标头」

吐槽/反馈/建议:我的咸鱼心  爱发电-@wdssmq

简要

有给各种网页写「GM_脚本」,姑且有弄「热重载」机制方便开发,但是一些网页的 CSP 策略不允许引入外部脚本,浏览器里也有临时禁用 CSP 的插件,但是并不总是管用,今天发现了一种浏览器自带的方法可以修改网站的「响应标头」,可以绕过网页自身的 CSP 限制;

正文

· 例行贴一些「相关」链接:

  1. 「折腾」使用 rollup.js 模块化编写 GM 脚本_电脑网络_沉冰浮水
  2. 「言说」写了份有点「大」的代码_杂七杂八_沉冰浮水
  3. 「GM_脚本」qBittorrent 批量修改种子 tracker_电脑网络_沉冰浮水

所以就是在更新「qBittorrent 批量替换 Tracker」时再一次感受到不能直接引入外部脚本的痛苦,然后发现浏览器是直接提供了修改支持的;

qBit 自身也是支持追加响应头的,新添加的理论上是会覆盖旧的,不知道姿势不对还是什么原因没走通;

· 需要添加的字段:

对于 wdssmq/rollup-plugin-monkey,需要为 Content-Security-Policy 补充相应规则:

  • default-src 'self' 'unsafe-inline' https://* data:;
  • connect-src ws://localhost:3000;
  • script-src 'unsafe-inline' https://* http://localhost:3000;

注:具体要与原始值合并,原则上应该是在原值基础上添加 ws://localhost:3000http://localhost:3000

· 操作步骤:

CSP 报错示意(001.png);

001.png

↑ 001.png

查看并复制原始 CSP 响应标头(002.png);

002.png

↑ 002.png

指定一个本地空白文件夹用于存储「替代文件」(003.png);

注:选定文件夹后有一个请求读写权限的确认选项;

003.png

↑ 003.png

添加「替代规则」,具体值以实际需要为准(004.png)

004.png

↑ 004.png

结束

  • CSP 全称为「Content Security Policy」,中文名为「内容安全策略」,是一种用于检测并减轻 XSS 攻击的浏览器安全机制,其实就是一种「白名单」机制,只允许指定的资源被加载;
  • 修改后的值按实际需要,也不限于这个标头字段;
  • AI 有给一个直接从浏览器配置中禁用 CSP 的方式,因为是针对全部网站的,所以不推荐使用;
  • 在浏览器地址栏输入 about:config 并回车,搜索 security.csp.enable 并双击修改为 false);
  • 实际效果其实也没试;

爱发电

本文标题:《「折腾」使用浏览器自带功能修改网站「响应标头」》作者:沉冰浮水
原文链接:https://www.wdssmq.com/post/20120902324.html
特别注明外均为原创,转载请注明。

分享到微信

扫描二维码

可在微信查看或分享至朋友圈。

相关文章

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

网站分类

  • 订阅本站的 RSS 2.0 新闻聚合

搜索

本周旧文

VSCode 内 git 操作卡住的时候没办法主动取消一直是个痛点,一般都是推送或拉取,今天连提交都卡了。。

又一个夏天过去了,所以今年也没买防水鞋套;然后天凉了,为了应对踢被子买了睡袋,不知道 1.2 米会不会略窄。。

《五至七时的克莱奥》,2018 年 6 月加入列表,21 年 11 月底发现 B 站上线了这部,直到前几天才看完,还是分两次看的。。接下来有五项是 2019 年的,都是电影 —— 略长的待办列表。。

有用程序自动抓取自己带 tag 的嘟,然后按年备份后从线上删除;刚发现去年的数据有备份但是没删线上??和本地数据对比后发现线上的还少一条,Why??

本质上,每个人需要的是「让自己面临的问题得到解决」的能力。。

这又涉及到直接能力和间接能力,,缺乏直接能力很正常,视情况可以通过学习来掌握直接能力,或者「请」有直接能力的人来帮自己解决。。

缺乏间接能力的情况是真没救,尤其是对「这是**我自己**面临的问题」这一前提没有明确认知的人。。

其实,在认知意义上,焦虑时我知道这种情绪对应「焦虑」这个文法词汇,此外还有「压抑」「悲伤」等等,然而「抑郁」其实是个我认知体系外的词,虽然经常一些情绪感受我找不到对应的语言词汇来表述,却也只能将其实表述为「找不到对应的语言词汇来表述」的某些感受。。

所以,我所面对的问题又可以明确向哪里寻求帮助呢?

日常需要对抗不想做。。

wdssmq/blog-astro: 一个基于 Astro 的静态博客;

爱发电支持者

最新留言

友情链接