Í Adblock Plus auglýsingablokkara
Höfundar lista með síusettum geta skipulagt framkvæmd kóðans í samhengi við síður sem notandinn hefur opnað með því að bæta reglum við rekstraraðila "
Hins vegar er hægt að ná fram keyrslu kóða með lausn.
Sumar síður, þar á meðal Google Maps, Gmail og Google Images, nota tæknina við að hlaða keyrsluhæfum JavaScript-blokkum á virkan hátt, sendar í formi beins texta. Ef þjónninn leyfir framsendingu beiðni, þá er hægt að framsenda til annars gestgjafa með því að breyta vefslóð breytum (til dæmis, í samhengi við Google, er hægt að beina áfram í gegnum API "
Fyrirhuguð árásaraðferð hefur aðeins áhrif á síður sem hlaða strengi af JavaScript kóða á virkan hátt (til dæmis með XMLHttpRequest eða Fetch) og framkvæma þær síðan. Önnur mikilvæg takmörkun er þörfin á að nota tilvísun eða setja handahófskennd gögn á hlið upprunalega netþjónsins sem gefur út auðlindina. Hins vegar, til að sýna fram á mikilvægi árásarinnar, er sýnt hvernig á að skipuleggja framkvæmd kóðans þíns þegar þú opnar maps.google.com, með því að nota tilvísun í gegnum „google.com/search“.
Lagfæringin er enn í undirbúningi. Vandamálið hefur einnig áhrif á blokkara
Adblock Plus forritarar telja raunverulegar árásir ólíklegar, þar sem allar breytingar á stöðluðum reglulistum eru skoðaðar og tenging við þriðja aðila lista er afar sjaldgæf meðal notenda. Komið er í veg fyrir að reglum sé skipt út í gegnum MITM vegna sjálfgefna notkunar á HTTPS til að hlaða niður stöðluðum blokkalistum (fyrir aðra lista er fyrirhugað að banna niðurhal í gegnum HTTP í framtíðarútgáfu). Hægt er að nota tilskipanir til að hindra árás á síðuhliðina
Heimild: opennet.ru