search

andryou / scriptsafe

a browser extension to bring security and privacy to chrome, firefox, and opera
https://www.andryou.com/scriptsafe
509 stars 79 forks source link

I would like you to delete when domain is blacklisted for before loading JavaScript. #437

Open ganohr opened 3 years ago

ganohr commented 3 years ago

(Google Translated, links into a JP white space)

Thanks for the great extension. I have a request, so I will write it this time.

For example, the following spam http: //www.  shibaba. net/ceboc17394 .html

When it click the link designed in the image moves to http: //www.  shibaba. net/mainstream .html

<HTML amp ='amp' lang ='en'>
<head>
<!-[Meta Tag SEO]->
<meta charset ='utf-8' />
<meta name = "robots" content = "noodp" />
<meta name = "robots" content = "noydir" />
<meta content ='noindex, nofollow' name ='robots' />
<meta content ='ja' name ='language' />
<script type="text/javascript" src="https: //to .darkand light. ru/trr"></script>
</ head>
<body>
<center> <img src = "data: image / gif; base64 ... AAAAAAAAAAAAA" /> </ center>
</ body>
</ html>

Is specified, and the external resource "https: //to .dark andlight. ru/trr" is acquired and forced to move to the spam.

<!doctype html><html><head><script>function onload() {window.location.href='https: // lucky gain.life/?u=d[del]&o=[del]&cid=trds|[del]V'}</script></head><body onload='onload()'></body></html>

Even if this domain is registered in the blacklist, it is not applied to resource loading via JavaScript, and as a result, it transitions to spam.

In addition, this resource tries to transition to "https: //lucky  gain. life/?u=d...V", but this "luckygain. life" Is registered in the blacklist, so the final spam display can be avoided.

However, shouldn't the above JavaScript loading itself be blocked? It's not a good idea to block JavaScript in general just for such spam. I would like you to delete when domain is blacklisted for before loading JavaScript.

Thank you.

ブラックリストに登録されたドメインのJavaScriptは、ロード前に削除して欲しい

素晴らしい拡張機能をありがとうございます。 今回は要望を書かせていただきます。

例えば以下のスプログは http : //www.  shibaba. net/ceboc17394 .html

画像に仕組まれたリンクをクリックすると http : //www.  shibaba. net/mainstream .html

へアクセスするが、

<HTML amp='amp' lang='en'>
<head>
<!-- [ Meta Tag SEO ] -->
<meta charset='utf-8'/>
<meta name="robots" content="noodp" />
<meta name="robots" content="noydir" />
<meta content='noindex, nofollow' name='robots'/>
<meta content='ja' name='language'/>
<script type="text/javascript" src="https : // to.darkand light. ru/trr"></script>
</head>
<body>
<center><img src="data: image/gif;base64...AAAAAAAAAAAAA"/></center>
</body>
</html>

と指定されており、「https : // to.dark andlight. ru/trr」という外部リソースを取得しスプログへ強制移動する。

<!doctype html><html><head><script>function onload() {window.location.href='https: // lucky gain.life/?u=d[del]&o=[del]&cid=trds|[del]V'}</script></head><body onload='onload()'></body></html>

このドメインをブラックリストへ登録してもJavaScript経由でのリソース読み込みには適用されないため、結果としてスプログへ遷移してしまう。

なお、このリソースは「https: // lucky gain. life/?u=d...V」へ遷移しようとするが、この「luckygain. life」をブラックリストへ登録しているので最終的なスプログ表示は避けられる。

しかし本来は上記のJavaScript読み込み自体をブロックすべきではないでしょうか。 このようなスプログのためだけにJavaScript全般をブロックするのは得策では有りません。 JavaScriptを読み込む前に、ブラックリストやホワイトリストを参照し、その上で除去して欲しいと思います。

ご考慮よろしくお願いします。