2017 05 ≪  06月 123456789101112131415161718192021222324252627282930  ≫ 2017 07


スポンサーサイト

- --------(--) - 
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
この記事のURL | スポンサー広告 | ▲ top

RequestPolicyでCSSと画像を読み込むようにする

- 2015-03-01(Sun) - 

RequestPolicyはセキュリティ強化に欠かせない拡張機能の1つだと個人的に思っていますが、未定義のリクエストをすべて禁止する設定にしている場合、JavaScript・CSS・画像などを外部サイトに置いているサイトではそれらのリクエストを許可しておかないとページがまともに表示できないこともあります。サイトごとに設定をするのは面倒なので、RequestPolicyの使用をやめた人もいることでしょう。

リクエストを禁止にしたコンテンツのうち、画像とCSSを読み込むようにすれば多くのページでは崩れずに表示できるようになるはず。セキュリティの観点からも特に問題にはならないでしょうし。

そこで、登録しておいたポリシーに該当しない未定義のリクエストのうち、画像とCSSのリクエストはすべて許可するようにしてみましたので、ここにメモしておきます。

RequestPolicy 1.0Beta8.2
プロファイルフォルダ\extensions\requestpolicy.com.xpi\modules\RequestProcessor.jsm
488行目「request.requestResult = this._checkByDefaultPolicy(originURI, destURI);」の上の空白行のところに下記の8行を追加。

    if (request.aContentType === 3) {
request.requestResult.isAllowed = true;
return this.accept("Allowed to image requests that do not apply to rules", request);
}
if (request.aContentType === 4) {
request.requestResult.isAllowed = true;
return this.accept("Allowed to stylesheet requests that do not apply to rules", request);
}

上記の3は画像、4はCSSのことで、これらの数字の意味は「nsIContentPolicy - Mozilla | MDN」に掲載されています。Webフォントの14や動画/音声の15を追加するのもよさそうですね。なお、画像やCSSのリクエストは強制的に許可するわけではないので、ポリシーに追加することでブロックできます。(RequestPolicy 1.0系はルールに許可とブロックの両方を登録できます)

この改造は昨年のうちにしたのですが、初めて訪れるサイトでリクエストを許可するケースが減り、「使い勝手のことを考えれば最初からこの仕様にしたほうがよかったのでは・・・」と思うことも。RequestPolicy 0.5系では未定義のリクエストはブロックしていましたが、1.0系では設定から許可とブロックのどちらかを選べるようになりましたので、特定のリクエストだけブロックしてほかはすべて許可するような使い方もできますけどね。

今回のようなコンテンツごとの許可/ブロックはバージョン1.0の後に実装される計画になっていますがリリースはまだまだだと思うので、興味がある方は試してみてください。

関連記事
スポンサーサイト
この記事のURL | 拡張機能 | コメント(0) | トラックバック(0) | ▲ top
<< | メイン | >>
 
コメント

コメントの投稿















管理者にだけ表示を許可する


▲ top
 
トラックバック
トラックバックURL
→http://fxwiki.blog63.fc2.com/tb.php/331-2950aae5
| メイン |
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。