I Adblock Plus ad blocker
Forfattere af lister med sæt af filtre kan organisere udførelsen af deres kode i sammenhæng med websteder åbnet af brugeren ved at tilføje regler med operatøren "
Kodekørsel kan dog opnås på en løsning.
Nogle websteder, herunder Google Maps, Gmail og Google Billeder, bruger teknikken til dynamisk at indlæse eksekverbare JavaScript-blokke, transmitteret i form af bare tekst. Hvis serveren tillader anmodningsomdirigering, kan videresendelse til en anden vært opnås ved at ændre URL-parametrene (f.eks. i forbindelse med Google kan en omdirigering foretages via API'en "
Den foreslåede angrebsmetode påvirker kun sider, der dynamisk indlæser strenge af JavaScript-kode (for eksempel via XMLHttpRequest eller Fetch) og derefter udfører dem. En anden vigtig begrænsning er behovet for at bruge en omdirigering eller placere vilkårlige data på siden af den originale server, der udsteder ressourcen. For at demonstrere relevansen af angrebet er det dog vist, hvordan du organiserer udførelsen af din kode, når du åbner maps.google.com, ved hjælp af en omdirigering gennem "google.com/search".
Rettelsen er stadig under forberedelse. Problemet påvirker også blokkere
Adblock Plus-udviklere anser reelle angreb for at være usandsynlige, da alle ændringer af standardlister med regler gennemgås, og tilslutning af tredjepartslister er ekstremt sjælden blandt brugere. Udskiftning af regler via MITM forhindres af standardbrugen af HTTPS til download af standardblokeringslister (for andre lister er det planlagt at forbyde download via HTTP i en fremtidig udgivelse). Direktiver kan bruges til at blokere et angreb på webstedets side
Kilde: opennet.ru