https 页面上的书签

Question

我正在尝试制作一个可在 youtube 和其他视频网站上使用的书签，以便轻松地从视频中获取信息并将其存储在其他地方。

从今天开始，显然我不能再这样做了，因为 youtube 强制自己使用 https 连接，并且从我在 chrome 的控制台窗口上看到的内容来看，书签不会在 https 页面上运行。有解决办法吗？

这里是修改后的代码：

javascript:(function(){var jsCode=document.createElement('script');jsCode.setAttribute('src','http://[mysite]/b/enter.php?i=userid&r='+Math.random());document.body.appendChild(jsCode);}());

Answer 1

Google Chrome（可能还有其他浏览器？）阻止从 HTTPS 文档访问 HTTP 资源。这是为了防止“mixed content”攻击，其中不安全的 HTTP 脚本可能是 intercepted by an attacker 在网络上传输并被更改以执行任何类型的恶意活动（例如，将 cookie 或敏感页面信息泄露给第三方）。此类违规行为将撤消 HTTPS 授予的任何保护。

Chrome 曾经提供一个突出的警告，指出不安全的资源已被阻止，但现在它不再这样做了，所有不安全的加载都会静默失败。目前唯一可用的解决方案是在提供脚本时自己使用 HTTPS。

Answer 2

在 Firefox 中，如果您想在 https 页面上运行引用 http 的小书签，解决此问题的方法是暂时禁用 security.mixed_content.block_active_content。有两种方法可以做到这一点。

1. 在新选项卡中转到about:config，搜索security.mixed_content.block_active_content，然后将值切换为false。运行您的小书签，然后将其切换回 true（因为您可能希望它大部分时间都处于打开状态）。

2. 使用插件/扩展来切换块。快速搜索出现了Toggle Mixed Active Content，快速测试似乎效果很好。可能还有其他人。

玩得开心，小心点。这里是龙！

Answer 3

书签不在 https 页面上运行

为什么不呢？

尝试自己更改为 HTTPS 域。当您在 HTTPS 域上时，通常会阻止 HTTP 内容。

Answer 4

我已经使用Greasemonkey userscript 为这个问题创建了一个解决方法“修复”。您现在可以在所有 CSP 和 https:// 网站上拥有书签，并且将书签放在一个漂亮、易于编辑的库文件中，而不是单独压缩到书签中。