Sa Adblock Plus ad blocker
Ang mga may-akda ng mga listahan na may mga hanay ng mga filter ay maaaring ayusin ang pagpapatupad ng kanilang code sa konteksto ng mga site na binuksan ng user sa pamamagitan ng pagdaragdag ng mga panuntunan sa operator "
Gayunpaman, ang code execution ay maaaring makamit sa isang workaround.
Ang ilang mga site, kabilang ang Google Maps, Gmail, at Google Images, ay gumagamit ng pamamaraan ng dynamic na pag-load ng mga executable na JavaScript block, na ipinadala sa anyo ng bare text. Kung pinapayagan ng server ang pag-redirect ng kahilingan, ang pagpapasa sa isa pang host ay maaaring makamit sa pamamagitan ng pagbabago ng mga parameter ng URL (halimbawa, sa konteksto ng Google, ang isang pag-redirect ay maaaring gawin sa pamamagitan ng API "
Ang iminungkahing paraan ng pag-atake ay nakakaapekto lamang sa mga page na dynamic na naglo-load ng mga string ng JavaScript code (halimbawa, sa pamamagitan ng XMLHttpRequest o Fetch) at pagkatapos ay isagawa ang mga ito. Ang isa pang mahalagang limitasyon ay ang pangangailangang gumamit ng redirect o maglagay ng di-makatwirang data sa gilid ng orihinal na server na nagbibigay ng mapagkukunan. Gayunpaman, upang ipakita ang kaugnayan ng pag-atake, ipinapakita kung paano ayusin ang pagpapatupad ng iyong code kapag binubuksan ang maps.google.com, gamit ang isang pag-redirect sa pamamagitan ng βgoogle.com/searchβ.
Ang pag-aayos ay nasa paghahanda pa rin. Ang problema ay nakakaapekto rin sa mga blocker
Itinuturing ng mga developer ng Adblock Plus na ang mga totoong pag-atake ay hindi malamang, dahil ang lahat ng mga pagbabago sa mga karaniwang listahan ng mga panuntunan ay sinusuri, at ang pagkonekta sa mga listahan ng third-party ay napakabihirang sa mga user. Ang pagpapalit ng mga panuntunan sa pamamagitan ng MITM ay pinipigilan ng default na paggamit ng HTTPS para sa pag-download ng mga karaniwang block list (para sa iba pang mga listahan ay binalak na ipagbawal ang pag-download sa pamamagitan ng HTTP sa isang release sa hinaharap). Maaaring gamitin ang mga direktiba upang harangan ang isang pag-atake sa gilid ng site
Pinagmulan: opennet.ru