Adblock Plus 広告ブロッカーで
フィルターのセットを含むリストの作成者は、演算子 " を使用してルールを追加することで、ユーザーが開いたサイトのコンテキストでコードの実行を整理できます。
ただし、回避策を講じればコードを実行できます。
Google マップ、Gmail、Google 画像などの一部のサイトでは、ベア テキストの形式で送信された実行可能な JavaScript ブロックを動的にロードする手法が使用されています。 サーバーがリクエストのリダイレクトを許可している場合、URL パラメーターを変更することで別のホストへの転送を実現できます (たとえば、Google のコンテキストでは、リダイレクトは API を通じて行うことができます)。
提案された攻撃方法は、JavaScript コードの文字列を (XMLHttpRequest や Fetch などを介して) 動的にロードして実行するページにのみ影響します。 もう XNUMX つの重要な制限は、リダイレクトを使用するか、リソースを発行する元のサーバー側に任意のデータを配置する必要があることです。 ただし、攻撃の関連性を示すために、「google.com/search」を介したリダイレクトを使用して、maps.google.com を開くときにコードの実行を編成する方法を示します。
修正はまだ準備中です。 この問題はブロッカーにも影響を与える
Adblock Plus 開発者は、ルールの標準リストへの変更はすべてレビューされており、サードパーティのリストに接続することはユーザーの間で非常にまれであるため、実際の攻撃の可能性は低いと考えています。 MITM を介したルールの置き換えは、標準ブロック リストのダウンロードに HTTPS をデフォルトで使用することによって防止されます (他のリストについては、将来のリリースで HTTP を介したダウンロードが禁止される予定です)。 ディレクティブを使用してサイト側の攻撃をブロックできます
出所: オープンネット.ru