如果你开发 /使用的 UserScript 脚本中申请了 GM_xmlhttpRequest
权限,请检查是否有将 GM_xmlhttpRequest
函数传入了 unsafeWindow
。
如果有,则使用此脚本的用户在访问有恶意的内容的网站时,可能会导致 @connect
中授权的网站受到攻击或控制。
首当其冲的是 GreasyFork 等类似网站上发布过脚本的开发者,请不要保持登录。
虽然不知道是否有这样的脚本攻击,但的确可以实现通过修改你的脚本来传播漏洞 /恶意脚本的风险。
不太确认这样说是不是有点小题大做,但是是有一定风险的,特别是 GreasyFork 修改密码还不需要确认旧密码。
1
dbw9580 2020-05-26 16:13:32 +08:00 via Android 1
https://wiki.greasespot.net/UnsafeWindow
这是 feature,不是 bug |
2
Mutoo 2020-05-26 16:20:29 +08:00
所以叫 unsafe* 是有原因的。
|
3
imspace 2020-05-26 16:31:59 +08:00
讲道理没什么人会这么写吧.... unsafeWindow.GM_xmlhttpRequest = GM_xmlhttpRequest, UserScript 自己有自己的 scope, 为什么还要放到原 window 里?
|