av Martin Brinkmann Mai 23, 2019 i Firefox – 4 kommentarer
Mozilla Firefox har et problem akkurat nå som forårsaker konflikter hvis flere utvidelser er installert som endrer CSP overskrifter på nettstedene du har besøkt.
CSP, som står for Content Security Policy, er en security tillegg som webområder kan bruke til å oppdage og redusere visse typer angrep som for eksempel Cross Site Scripting eller data injeksjoner.
Utvidelser kan bruke CSP injeksjon for å endre overskrifter. Den populære innhold blocker uBlock Opprinnelse kan bruke den til å blokkere ekstern skrifter fra lasting på sidene som er besøkt i nettleseren, og Lerret Blokker bruker den til å blokkere data URL sider.
Teamet bak Ghacks Bruker JS vedlikeholder en liste over utvidelser som er kjent for å bruke CSP injeksjon for noen funksjonalitet. Teamet gjorde en flott jobb med å analysere problemet og samle alle biter og stykker. Du kan også være lurt å lese gjennom utstedelse beskrivelse på GitHub for ytterligere informasjon.
Du finner populære utvidelser som uBlock Opprinnelse, uMatrix, eller HTTPS Overalt på listen, så vel som andre, for eksempel virksomhetens Retningslinjer Generator, Cookie Autoslette, eller Hoppe over Redirect.
Problemet
Hvis det er mer enn en forlengelse aktiv på en side som bruker CPS-injeksjon, bare man er brukt. Tenk deg følgende scenario: du har et innhold blokker og annen extension er installert, som begge bruker CSP injeksjon.
Bare en av dem vil faktisk være i stand til å gjøre det, den andre ikke. Med andre ord, det kan skje at noen utvidelser vil ikke fungere 100% på grunn av konflikten.
når to eller flere utvidelser bruk CSP injeksjon for å endre overskrifter på samme side, bare en vinner. Det spiller ingen rolle hvem: for det første som er lagt, først endres – ikke bekymre: faktum er bare en forlengelse vil oppnå det den er ment til, den andre(s) vil mislykkes
Grunnleggende eksempel? Innhold blockers ikke blokkerer visse typer innhold, fordi en utvidelse fikk prioritet.
Problemet ser ut til å være Firefox bestemt på den tiden. Feilen ble meldt til Mozilla noen tid siden (mer enn et år siden) og Mozilla tildelt det en prioritering av 2. P2-problemer er ikke akkurat høyt plassert i utvikling kø, og det er uklart om eller når problemet vil være løst.
Firefox synes ikke å avsløre konflikten til brukeren av nettleseren, og det er ikke trivielt å finne ut om en forlengelse gjør CSP injeksjoner (søk etter innhold-sikkerhet-politikk i alle filer av en utvidelse, men først og pakk den ut på den lokale systemet eller bruke Extension Source Viewer til å vise det). Du kan bruke Notepad++ til å søke etter tekst i alle filer, den utmerkede søk tool Alt, eller command-line verktøy findstr.
Du kan være i stand til å løse problemet ved å enten a) å deaktivere funksjonalitet i filendelser hvis det er mulig, eller b) å avinstallere add-ons.
Nå er Du: Hva er din ta på problemet? For små til å løse? Haster fikse nødvendig?