我正在尝试将usecript转换为Firefox插件,但它不起作用(它适用于除Firefox之外的所有现代浏览器)。我试过https://arantius.com/misc/greasemonkey/script-compiler.php它转换了用户脚本及其工作但是附加组件在验证时失败了,我无法在Firefox附加组件目录中提交它。
这是我的代码http://pastebin.com/mxnBqDxS
是否有简单的方法可以创建这个脚本,这个脚本在验证时不会失败?
答案 0 :(得分:1)
根据您的评论,自动验证不会拒绝扩展(这总是产生许多没有实际意义的警告),而是由人工评论员拒绝。审核人员认为脚本中的以下行不安全:
button.innerHTML = wrapper.text;
审稿人错了,你应该回复邮件(你的回复将发送给amo-editors邮件列表)指出:
wrapper.text不是网页或用户提供的某些文字。这是在你的扩展中硬编码的东西,它的可能值是事先知道的,并且不需要消毒。
即使如果 wrapper.text是您从网页上获得的某些文字 - button也会作为该网页的元素插入。这意味着由于不正确的清理而执行的任何JavaScript代码都使用网页的权限执行。该网页没有获得比现有更多的特权。
因此虽然innerHTML是安全问题的常见来源,但在这种情况下却不是。