ページにJavaScriptを注入することで(head要素の下に要素を作成し、そのinnerHTML値を実行するJavaScriptに設定することにより)、githubのWebアプリと対話するために使用されるFirefoxプラグインがあります。
ただし、最近は機能しなくなりました。その後、次の警告が表示されました。
Timestamp: 8/21/13 5:45:42 PM
Warning: CSP WARN: Directive inline script base restriction violated
Source File: https://github.com/login
Line: 0
Source Code:
myjscode();...
Github は次のヘッダーを返します。
X-Content-Security-Policy: default-src *; script-src 'self' https://github.global.ssl.fastly.net https://jobs.github.com https://ssl.google-analytics.com https://collector.githubapp.com https://analytics.githubapp.com; style-src 'self' 'unsafe-inline' https://github.global.ssl.fastly.net; object-src 'self' https://github.global.ssl.fastly.net
Firefox が X-Content-Security-Policy ヘッダーを通じて CSP のサポートを開始したことは知っていましたが、プラグインからブレーキへのコード インジェクションを防止する何らかのメカニズムが配置されると考えていました。
拡張 API に、ページに JavaScript を挿入して CSP 設定をバイパスするための特定のメカニズムがあるかどうかは誰にもわかりませんか? 理由は - ユーザーがプラグインをインストールしている場合、彼/彼女はそれを信頼しており、CSP をバイパスする方法が必要です。