Почему окно (и unsafeWindow) не совпадает с именем пользователя из тега <script>?

У меня возникла проблема при разработке этого небольшого usercript. Когда я хотел заблокировать каждый XMLHttpRequest с работающего сайта с помощью script, ничего не происходило (по крайней мере, с Chrome):

function main() {
  // Override XHR.open with a custom function
  window.XMLHttpRequest.prototype.open = function() {
    // Nothing... so it supposed to block every xhr.open() call
  }
}
main();

То же самое при замене window на unsafeWindow.

Однако, когда я использовал этот маленький трюк, все работало как шарм:

// No more call to main(), and:
var script = document.createElement("script");
script.textContent = "(" + main.toString() + ")();";
document.body.appendChild(script);

Каждый вызов xhr.open заменяется моей пользовательской функцией, не более AJAX.

Итак, я думаю, что элемент window не тот же, когда main вызывается из script, чем при вызове из контейнера <script></script>. Может кто-нибудь объяснить мне, почему?

Ответы

Ответ 1

См. Являются ли пользовательские скрипты Chrome отделенными от глобального пространства имен, например скриптами Greasemonkey?. Оба Chrome userscripts/content-scripts и сценарии Greasemonkey изолированы от страницы javascript. Это делается для того, чтобы помочь вам избежать взлома, но также уменьшает конфликты и неожиданные побочные эффекты.

Однако для каждого браузера эти методы различны...

Firefox:

  • Запускает скрипты в песочнице XPCNativeWrapper, если @grant none действует (начиная с GM 1.0).
  • По умолчанию обходит script анонимную функцию.
  • Предоставляет unsafeWindow доступ к javascript целевой страницы. Но будьте осторожны, чтобы враждебные веб-мастера могли использовать unsafeWindow использование контекста script и, таким образом, получить повышенные привилегии для pwn you.

Chrome:

  • Запускает скрипты в "изолированном мире" .
  • Обтекает script анонимной функцией.
  • Строго блокирует любой доступ к странице JS с помощью script и наоборот.
    Последние версии Chrome теперь предоставляют объект с именем unsafeWindow, для очень ограниченной совместимости, но этот объект не предоставляет никакого доступа к целевой странице JS. Это то же самое, что и window в области script (которая не является window в области страницы).

Тем не менее, версия вашего script, которая использовала unsafeWindow, должна работать в/в Firefox, если она выполнена правильно. Он может работать с расширением Tampermonkey в Chrome, но я не буду сейчас проверять его дважды.

Когда вы выполняете этот "трюк" (var script = document.createElement("script"); ...), вы нажимаете нажимать на целевую страницу. Это обходит песочницу и является единственным способом в обычном браузере Chrome для script взаимодействовать со страницей JS.

Преимущества для инъекций:

  • Единственный способ, с помощью которого пользовательские скрипты, не относящиеся к Tampermonkey, получить доступ к объектам или функциям, предоставленным целевой страницей.
  • Почти всегда полностью совместим Chrome, Firefox, Opera и т.д. (IE, как всегда, что-то еще.)
  • Часто проще отлаживать весь script; инструменты разработчика работают нормально.

Недостатки впрыска:

  • script, по крайней мере, вложенные части, не могут использовать расширенные привилегии (особенно междоменные), предоставляемые функциями GM_, особенно GM_xmlhttpRequest().
    Обратите внимание, что в настоящее время Chrome поддерживает только GM_addStyle, GM_xmlhttpRequest, GM_log и GM_openInTab, полностью, изначально.
    Тем не менее Tampermonkey поддерживает функции GM_ почти полностью.

  • Может вызывать побочные эффекты или конфликты со страницей JS.

  • Использование внешних библиотек приводит к еще большему количеству конфликтов и проблем времени. Это не так просто, как @require.
    @require также запускает внешний JS из локального выполнения копирования, но все же исключает зависимость от внешнего сервера.

  • Страница может видеть, использовать, изменять или блокировать script.

  • Требуется включить JS. Firefox Greasemonkey, особенно, может работать на странице с заблокированным JS. Это может быть находкой на раздутых, дерьмовых и/или навязчивых страницах.