V2EX = way to explore V2EX 是一个关于分享和探索的地方
Sign Up Now For Existing Member Sign In
工单节点使用指南 请用平和的语言准确描述你所遇到的问题 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
This topic created in 2164 days ago, the information mentioned may be changed or developed.
如果你开发 /使用的 UserScript 脚本中申请了 GM_xmlhttpRequest 权限,请检查是否有将 GM_xmlhttpRequest 函数传入了 unsafeWindow。
如果有,则使用此脚本的用户在访问有恶意的内容的网站时,可能会导致 @connect 中授权的网站受到攻击或控制。
首当其冲的是 GreasyFork 等类似网站上发布过脚本的开发者,请不要保持登录。
虽然不知道是否有这样的脚本攻击,但的确可以实现通过修改你的脚本来传播漏洞 /恶意脚本的风险。
不太确认这样说是不是有点小题大做,但是是有一定风险的,特别是 GreasyFork 修改密码还不需要确认旧密码。
4 replies 2020-05-26 17:05:32 +08:00
 | 1 dbw9580 May 26, 2020 via Android  1 https://wiki.greasespot.net/UnsafeWindow 这是 feature,不是 bug |
 | 2 Mutoo May 26, 2020 所以叫 unsafe* 是有原因的。 |
 | 3 imspace May 26, 2020 讲道理没什么人会这么写吧.... unsafeWindow.GM_xmlhttpRequest = GM_xmlhttpRequest, UserScript 自己有自己的 scope, 为什么还要放到原 window 里? |
Select Language