下午反饋的一個問題
一直在 loading
image.png
找問題
然而我這邊都是好的矩父。然后加了反饋者的QQ遠(yuǎn)程看了下锉桑。
控制臺報錯。
image.png
繼而我看了下js文件加載跟我的電腦有什么不同窍株。發(fā)現(xiàn)多了兩個文件jquery.js民轴、entry.js
image.png
復(fù)制出來了鏈接一看https://astyle-src.alicdn.com/app/searchweb/products/zhaohuoshenqi/lib/jquery.js。我在想怎么會有這破玩意兒呢球订?然后看到對方瀏覽器右上角有個貨后裸。我禁用這個擴展之后就沒問題了。
于是定位到是這個擴展的問題冒滩。我也在我本地裝了這個擴展微驶,方便問題的復(fù)現(xiàn)。
這個插件是怎么做的呢开睡?我百度了下找貨神器 淘貨源因苹。在論壇上找到這個插件的文件。把crx后綴改成zip后綴篇恒。解壓之后扶檐。看了下js胁艰。很簡單粗暴款筑。但是主要邏輯都是點擊上面插件之后嵌入的iframe以及相關(guān)js跟css文件。
image.png
解決問題
一開始我在想蝗茁,怎么禁止對方appendChild script到body里醋虏。一頓狂搜。試了試哮翘。發(fā)現(xiàn)方式不對颈嚼。
然后,想看報錯饭寺。初步判斷是jquery沖突阻课。在想總不能把我這邊所有jquery都重命名吧。
解決方式艰匙,還是落在了如何禁止第三方j(luò)s跟css引入到我的頁面限煞。然后搜到了`CSP。在公共的html頁面片段中加了下面员凝。就解決了署驻。
<meta http-equiv="Content-Security-Policy" content="script-src xxx.xxx.com dev.xxx.xxx.com:10100 'unsafe-inline' 'unsafe-eval'; object-src 'none'; style-src xxx.xxx.com dev.xxx.xxx.com:10100 'unsafe-inline'; child-src https:">
然后這個插件就在這個站點下就不能用了。同樣都是插件建議向印象筆記學(xué)習(xí)。人家就沒有干擾到別人的js旺上。另外我配的csp也不會干擾到印象筆記的使用瓶蚂。
image.png
參考資料:
- 《Content Security Policy 入門教程》http://www.ruanyifeng.com/blog/2016/09/csp.html
- 《前端安全配置之Content-Security-Policy(csp) 》https://www.cnblogs.com/heyuqing/p/6215761.html
