Во Adblock Plus блокатор на реклами
Авторите на списоци со множества филтри можат да го организираат извршувањето на нивниот код во контекст на страниците отворени од корисникот со додавање правила со операторот "
Сепак, извршувањето на кодот може да се постигне со заобиколување.
Некои сајтови, вклучувајќи ги Google Maps, Gmail и Google Images, користат техника на динамичко вчитување извршни блокови JavaScript, пренесени во форма на гол текст. Ако серверот дозволува пренасочување на барањето, тогаш пренасочувањето до друг домаќин може да се постигне со промена на параметрите на URL-то (на пример, во контекст на Google, може да се направи пренасочување преку API "
Предложениот метод за напад влијае само на страниците кои динамички вчитуваат низи од кодот JavaScript (на пример, преку XMLHttpRequest или Fetch) и потоа ги извршуваат. Друго важно ограничување е потребата да се користи пренасочување или да се постават произволни податоци на страната на оригиналниот сервер што го издава ресурсот. Меѓутоа, за да се покаже релевантноста на нападот, прикажано е како да се организира извршувањето на вашиот код при отворање на maps.google.com, користејќи пренасочување преку „google.com/search“.
Поправката е сè уште во подготовка. Проблемот влијае и на блокаторите
Програмерите на Adblock Plus сметаат дека вистинските напади се малку веројатни, бидејќи сите промени на стандардните списоци на правила се прегледуваат, а поврзувањето списоци од трети страни е исклучително ретко меѓу корисниците. Замената на правилата преку MITM е спречена со стандардната употреба на HTTPS за преземање стандардни блок листи (за други списоци се планира да се забрани преземањето преку HTTP во идно издание). Директивите може да се користат за блокирање на напад на страната на локацијата
Извор: opennet.ru