Проблема с Firefox CSP может вызвать конфликты расширений

В Mozilla Firefox прямо сейчас есть проблема, которая вызывает конфликты, если установлено несколько расширений, изменяющих заголовки CSP на посещаемых сайтах.

CSP, что означает Политика безопасности контента, является дополнением безопасности, которое сайты могут использовать для обнаружения и смягчения определенных типов атак, таких как межсайтовые сценарии или инъекции данных.

Расширения браузера могут использовать внедрение CSP для изменения заголовков. Популярный блокировщик контента uBlock Origin может использовать его для блокировки загрузки удаленных шрифтов на страницах, посещаемых в браузере, а Canvas Blocker использует его для блокировки страниц URL данных.

Команда разработчиков Ghacks User JS поддерживает список расширений, которые, как известно, используют внедрение CSP для некоторых функций. Команда проделала отличную работу, проанализировав проблему и собрав все обрывки. Вы также можете прочитать описание проблемы на GitHub для дополнительной информации.

Вы найдете популярные расширения как uBlock Origin, uMatrix или HTTPS Everywhere в списке, а также другие, такие как Enterprise Policy Generator, Cookie AutoDelete или Skip Redirect.

Приложение: только записи с красным восклицательным знаком используют внедрение CSP.

Проблема

Если на странице, использующей внедрение CSP, действует более одного расширения, используется только одно. Представьте себе следующий сценарий: у вас установлен блокировщик контента и другое расширение, которые используют внедрение CSP.

Только один из них действительно сможет это сделать, другой — нет. Другими словами, может случиться так, что некоторые расширения не будут работать на 100% из-за конфликта.

когда два или более расширения используют внедрение CSP для изменения заголовков на одной странице, выигрывает только одно. Неважно, кто: первым загружен, первым изменен — ​​все равно: факт в том, что только одно расширение достигнет того, для чего оно предназначено, другое (ие) не сработает

Базовый пример? Блокировщики контента не блокируют определенный контент, потому что приоритет получил другое расширение.

В то время проблема, похоже, специфична для Firefox. Ошибка была сообщил в Mozilla некоторое время назад (более года назад), и Mozilla присвоила ему приоритет 2. Проблемы P2 не совсем высоко ставятся в очереди на разработку, и неясно, будет ли проблема решена и когда.

Firefox, похоже, не раскрывает конфликт пользователю браузера, и нетривиально выяснить, выполняет ли расширение CSP-инъекции (ищите политику безопасности контента во всех файлах расширения, но сначала извлеките ее в локальная система или использовать Средство просмотра исходного кода расширений для просмотра). Ты можешь используйте Notepad ++ для поиска текста во всех файлах, отличный инструмент поиска Все, или инструмент командной строки findstr.

Вы можете решить проблему, а) отключив функциональность расширений, если это возможно, или б) удалив надстройки.

Теперь ваша очередь: Что вы думаете по этому поводу? Слишком маленький, чтобы исправить? Необходимо срочное исправление?