百科问答小站 logo
百科问答小站 font logo



如何绕过知乎对 Bookmarklet 跨域添加的 <script> 的限制? 第1页

  

user avatar   meowtec 网友的相关建议: 
      

报这个错是因为知乎在相应头中设置了Content-Security-Policy字段,参数之外的js文件都会被禁止,所以可以考虑下面几种方法:

1. 把script内容压缩为一行,直接执行而不是采用script标签加载。

缺点:复制起来不太方便,另外如果你要把自己的代码发布给其他人用,用户的代码不好更新。

好处是相比于远程加载更为安全和快速。

2. 通过工具(比如Mason或者代理工具)改变responseHeader中的Content-Security-Policy字段,以charles为例:

tools-rewrite

缺点:只能自己用用。

3. ajax + eval

使用XMLHttpRequest加载js文件,再使用eval执行文件内容。不过这样需要修改你的responseHeader以支持跨域:{'Access-Control-Allow-Origin': '*'}

缺点:需要服务器支持。




  

相关话题

  为什么 Java 和 JS 等语言需要 VM,不能直接操作内存堆栈空间? 
  如何看待知乎前后端关注度差距悬殊的现象? 
  为什么 Java 和 JS 等语言需要 VM,不能直接操作内存堆栈空间? 
  可以说说你们在知乎上特别关注了谁吗? 
  知乎的评论内容由作者筛选后展示是都被滥用了? 
  避免使用 eval、new Function 的方法可以降低 XSS 攻击的风险吗?为什么? 
  为什么有些前端一直用 div 当按钮,而不是用 button? 
  如何看待知乎首页强推视频? 
  浏览器根据charset判断编码方式的疑问? 
  浏览器解析Html一般是边下载边渲染么?如果是边下载边渲染的话,Html又使用GZIP格式传输,如何能够做到没有完全下载就可以渲染的呢? 

前一个讨论
修改电脑的Hosts文件为什么不能阻断网络访问?
下一个讨论
如何用一个最简单的比喻告诉周围不懂物理的人,什么是低温等离子体?





© 2025-05-30 - tinynew.org. All Rights Reserved.
© 2025-05-30 - tinynew.org. 保留所有权利