如何在浏览器 JS 控制台中包含脚本时覆盖内容安全策略

您可以通过在about:config菜单中禁用security.csp.enable来关闭 Firefox 中整个浏览器的 CSP。如果这样做，则应使用完全独立的浏览器进行测试。例如，将 Firefox Developer Edition 与普通浏览器一起安装，并将其用于测试(而不是正常的 Web 使用(。

作为替代方案，应该可以在Content-Security-Policy响应标头到达浏览器之前对其进行更改(通过 HTTP 代理(。也可以使用扩展来执行此操作。

Chrome 扩展程序可以为自己的 chrome-extension://... 页面设置自己的 CSP，但无法更改普通网页的 CSP。

我正在使用此Chrome扩展程序在每个标签的基础上禁用CSP。

禁用内容安全策略扩展：

• https://chrome.google.com/webstore/detail/disable-content-security/ieelmcmcagommplceebfedjlakkhpden

有一个分支默认禁用 CSP。

始终禁用内容安全策略扩展：

• https://chrome.google.com/webstore/detail/always-disable-content-se/ffelghdomoehpceihalcnbmnodohkibj

我找到了一种方法来做到这一点，而不会打开安全漏洞。这有点复杂，但覆盖安全规则应该是。你需要：

• 一个浏览器插件，可以向 http 响应添加标头。我用simple-modify-headers来做Mozilla。
• 可在其中托管脚本的 Web 服务器。我在本地机器上使用Rebex Tiny Web Server for Windows。

在 Web 服务器上承载.js文件。

配置插件以将标头Content-Security-Policy: script-src <url>;添加到您可能要从中加载的任何站点，其中<url>是脚本的 URL 或其所在的目录。例如，http://localhost/Programming/ .确保您的插件修改任何现有的标头而不是覆盖，否则站点可能会中断。^*

现在，您可以从控制台或书签加载脚本：

javascript:(function() {const script = document.createElement('script'); script.src = 'http://localhost/???.js'; document.head.append(script);})();

我试图将file:// uri 列入白名单，这将消除对 Web 服务器的需求，但它似乎不起作用。

*：奇怪的是，使用简单的修改标头，它似乎只有在我运行它并打开"按规则过滤 URL"时才有效。(在"参数"下(