No bloqueador de anuncios Adblock Plus
Os autores de listas con conxuntos de filtros poden organizar a execución do seu código no contexto dos sitios abertos polo usuario engadindo regras co operador "
Non obstante, a execución de código pódese conseguir nunha solución alternativa.
Algúns sitios, incluídos Google Maps, Gmail e Google Images, usan a técnica de cargar dinámicamente bloques de JavaScript executables, transmitidos en forma de texto simple. Se o servidor permite a redirección de solicitudes, pódese realizar o reenvío a outro host cambiando os parámetros de URL (por exemplo, no contexto de Google, pódese facer unha redirección a través da API "
O método de ataque proposto só afecta ás páxinas que cargan dinámicamente cadeas de código JavaScript (por exemplo, mediante XMLHttpRequest ou Fetch) e que despois as executan. Outra limitación importante é a necesidade de utilizar unha redirección ou colocar datos arbitrarios no lado do servidor orixinal que emite o recurso. Non obstante, para demostrar a relevancia do ataque, móstrase como organizar a execución do teu código ao abrir maps.google.com, utilizando unha redirección a través de "google.com/search".
A corrección aínda está en preparación. O problema tamén afecta aos bloqueadores
Os desenvolvedores de Adblock Plus consideran que os ataques reais son pouco probables, xa que todos os cambios nas listas estándar de regras son revisados e a conexión de listas de terceiros é extremadamente rara entre os usuarios. A substitución de regras a través de MITM impídese polo uso predeterminado de HTTPS para descargar listas de bloqueo estándar (para outras listas está previsto prohibir a descarga vía HTTP nunha versión futura). As directivas pódense usar para bloquear un ataque no lado do sitio
Fonte: opennet.ru