https://www.nodeloc.com/d/26751/
说实话我以为他用了sw,结果……我在期待什么?
首先,脚本开始通过 hook fetch、XML来拦截非白名单请求,但是bro不知道 DOM script 加载不走 js
然后,他使用ob观察器阻止新的script标签被添加,但是bro不知道xss基本上都是后端直接插入发送的,不需要动态注入
之后,他增强了CSP,但是和马奇诺防线一样,和loc.cc的cookie安全问题有异曲同工之妙,在此不做解释
最后,他劫持了 localStorage 和 sessionStorage 的 getItem 方法,只要key带token就返回null,直接干翻 wikidot 官方 script