gpt4 book ai didi

javascript - 通过 Chrome 扩展将 AJAX 注入(inject)网站

转载 作者:行者123 更新时间:2023-11-30 20:34:24 28 4
gpt4 key购买 nike

我正在使用 chrome 扩展程序将 AJAX 请求注入(inject)网站。但是我一直随机收到此错误:

Refused to connect to 'http://127.0.0.1:5005/' because it violates the following Content Security Policy directive: "connect-src 'self' static.licdn.com media.licdn.com static-exp1.licdn.com static-exp2.licdn.com media-exp1.licdn.com media-exp2.licdn.com https://media-src.linkedin.com/media/ www.linkedin.com s.c.lnkd.licdn.com m.c.lnkd.licdn.com s.c.exp1.licdn.com s.c.exp2.licdn.com m.c.exp1.licdn.com m.c.exp2.licdn.com wss://*.linkedin.com dms.licdn.com".

它不会一直发生。只是一些时候。我真的很困惑。有解决办法吗?

这是chrome_extension.js里面的代码

function checkName(){
var fullNameSplit = $('#topcard h1').first().text().split(' ');
var firstName = fullNameSplit[0]
var lastName = fullNameSplit[fullNameSplit.length - 1]
console.log(firstName, lastName)
console.log('checking name')

$.ajax({
type:'POST',
url:'http://127.0.0.1:5005/',
data: JSON.stringify({first: firstName, last: lastName}),
success: function(response) {
data = JSON.parse(response)
firstNameFound = data.first_name
lastNameFound = data.last_name
fullNameFound = data.full_name
$('.profile-info').prepend('Full Name Found: '+fullNameFound+'</br></br>');
//</br></br>First Name Found: '+firstNameFound+'</br></br>Last Name Found: '+lastNameFound+'</br></br>'

},
// dataType: 'json',
contentType: "application/json"
})
}

list .json

{
"manifest_version": 2,

"name": "Upstart Extension",
"version": "1.0",

"browser_action": {
"default_icon": "icons/download.png"
// "default_popup": "popup.html"
},

"background": {
"scripts" : ["background.js"]
},

"permissions": [
"activeTab",
"https://ajax.googleapis.com/",
"storage"
],

"content_scripts": [
{
// "matches":["https://www.linkedin.com/*"],
"matches": ["https://www.linkedin.com/*", "http://www.linkedin.com/*"],
"js":["keypress.js", "jquery.js", "chrome_extension.js"],
"run_at": "document_end"
}
],
"content_security_policy": "script-src 'self' http://127.0.0.1:5005/'; connect-src 'self' http://127.0.0.1:5005/'; object-src 'self'"
}

最佳答案

您似乎被网站阻止了 Content Security Policy这是由网络服务器设置的安全策略,它提供了允许连接的服务器列表。基本上,它是一种旨在准确阻止您正在做的事情的安全措施,因为它看起来像 XSS 注入(inject)攻击。

它可能只在某些时候发生,因为只有一些网站启用了 CSP。

有解决办法吗?

假设 CSP 是有效的,没有办法绕过它,除非有问题的站点将您要连接的源添加到它的内容策略中。

关于javascript - 通过 Chrome 扩展将 AJAX 注入(inject)网站,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/49983768/

28 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com