如何绕过知乎对 Bookmarklet 跨域添加的 <script> 的限制? 第1页
1
meowtec 网友的相关建议:
报这个错是因为知乎在相应头中设置了Content-Security-Policy字段,参数之外的js文件都会被禁止,所以可以考虑下面几种方法:
1. 把script内容压缩为一行,直接执行而不是采用script标签加载。
缺点:复制起来不太方便,另外如果你要把自己的代码发布给其他人用,用户的代码不好更新。
好处是相比于远程加载更为安全和快速。
2. 通过工具(比如Mason或者代理工具)改变responseHeader中的Content-Security-Policy字段,以charles为例:
tools-rewrite
缺点:只能自己用用。
3. ajax + eval
使用XMLHttpRequest加载js文件,再使用eval执行文件内容。不过这样需要修改你的responseHeader以支持跨域:{'Access-Control-Allow-Origin': '*'}
缺点:需要服务器支持。
1
相关话题
为什么 Java 和 JS 等语言需要 VM,不能直接操作内存堆栈空间?如何看待知乎前后端关注度差距悬殊的现象?
为什么 Java 和 JS 等语言需要 VM,不能直接操作内存堆栈空间?
可以说说你们在知乎上特别关注了谁吗?
知乎的评论内容由作者筛选后展示是都被滥用了?
避免使用 eval、new Function 的方法可以降低 XSS 攻击的风险吗?为什么?
为什么有些前端一直用 div 当按钮,而不是用 button?
如何看待知乎首页强推视频?
浏览器根据charset判断编码方式的疑问?
浏览器解析Html一般是边下载边渲染么?如果是边下载边渲染的话,Html又使用GZIP格式传输,如何能够做到没有完全下载就可以渲染的呢?
前一个讨论
修改电脑的Hosts文件为什么不能阻断网络访问?
相关的话题
Promise 不能被取消,真的算是它的缺点吗?如何评价知乎用户Serendipity?
为什么前端老觉得后端简单?
开发者和用户之间的世界观距离有多大?
个人开发web应用,从需求设计,界面设计,数据库设计,API设计等,好的开发流程是怎么样的?
JavaScript 中,定义函数时用 var foo = function () {} 和 function foo() 有什么区别?
避免使用 eval、new Function 的方法可以降低 XSS 攻击的风险吗?为什么?
如何看待B站 (bilibili) 开源 HTML5 播放器内核 flv.js?
前端能否限制用户截图?
如何看待知乎上的男拳?
知乎违反相关法律法规是根据什么评判的呢?
JavaScript 最失败的设计是 arguments 吗?
如何理解 let x = x 报错之后,再次 let x 依然会报错?
在知乎上如何快速取消关注某人或某话题?
在知乎上如何快速取消关注某人或某话题?
有多大比例的前端工程师,能在合理的时间内独立开发出一个足以供商业网站使用的文本编辑器?
所谓的几年编程经验,潜台词指的是什么?
怎么评价淘宝 Web 前端工程师对微软 WP 系统 Web 不兼容的回应?
如何看待墨茶official涉嫌抄袭知乎文章?
作为前端开发者,不了解flash,可耻吗?
有什么适合碎片时间看的计算机基础书籍推荐?
程序员们平时都喜欢逛什么论坛呢?
moment.js为何要设计成mutable的,有何优缺点?
当人们说一个前端框架太“厚重”时,他们在说什么?
如何评价知乎网?
今天(2020-7-9)知乎创作者等级算法更新,你的等级提升了吗?你对此次等级的算法调整有何看法?
关于后端程序员写前端用什么框架更好?
大四程序员选择去大公司还是小公司?
HTML 静态页面的头部和底部都是相同的,如何让每个页面统一调用一个公共的头部和底部呢?
chrome41.0.2224.3版本的知乎顶部条为什么显示不正常?