20260510-1243 修复看不了旧文章的bug

bddjr · bddjr · commit 5c345172c190 · 2026-05-10T12:45:21.000+08:00
diff --git a/CCW-Code-Injection-Risk-Warning.user.js b/CCW-Code-Injection-Risk-Warning.user.js
@@ -2,7 +2,7 @@
 // @name         CCW-Code-Injection-Risk-Warning
 // @description  CCW代码注入风险警告，让你的账号更安全。
 // @author       bddjr
-// @version      20260509-1820
+// @version      20260510-1243
 // @match        https://www.ccw.site/*
 // @match        https://learn.ccw.site/*
 // @match        https://m.ccw.site/*
@@ -14,34 +14,59 @@
 // ==/UserScript==
 //@ts-nocheck
 
-// Source Code:
+// 更多注意事项，请看源代码仓库：
 // https://github.com/bddjr/CCW-Code-Injection-Risk-Warning
 
-if (location.hostname == 'learn.ccw.site') {
+if (location.hostname == 'm.ccw.site') {
+    // 基于新标签页访问 svg 网址的代码注入攻击
+    // 脚本无法防御该攻击，因为攻击者的代码先执行。
+    // 参考 https://github.com/bddjr/CCW-Code-Injection-Risk-Warning/issues/3
+    if (document.contentType == 'image/svg+xml') {
+        try {
+            window.stop()
+        } catch (e) { }
+        alert(`【脚本 CCW代码注入风险警告】
+
+您正在使用标签页访问svg，恶意代码可能已经执行。
+建议您关掉该标签页，然后尽快修改您的账号的密码。
+如果攻击者已经使用您的账号捣乱，请及时向共创世界管理员或鸭鸭院长申诉。`)
+    }
+
+} else if (location.hostname == 'learn.ccw.site' || location.pathname.toLowerCase().startsWith('/post/')) {
     // 自动防御基于 iframe 的代码注入攻击，仅允许白名单网址
 
     // 创作者学院编辑器提示：暂时只支持bilibili和西瓜视频以及站内链接
     // 查找并分析js文件
     // https://learn.ccw.site/_next/static/chunks/708-9a7dbfbb32eca7d3.js
     // https://learn.ccw.site/_next/static/chunks/5191-e0df96b8928838d4.js
     // https://learn.ccw.site/_next/static/chunks/app/(normal)/home/layout-a9cb46b1ff2d4762.js
-    // 创作者学院前端支持插入的 URL origin ： 
+    // 创作者学院前端支持插入的 URL origin ：
     // [
-    //   "https://scratch.mit.edu", 
-    //   "https://youtube.com", 
-    //   "https://www.facebook.com", 
-    //   "https://www.twitch.tv", 
-    //   "https://twitter.com", 
-    //   "https://qa.cocrea.world", 
-    //   "https://www.ixigua.com", 
-    //   "https://ixigua.com", 
-    //   "https://bilibili.com", 
-    //   "https://player.bilibili.com", 
-    //   "https://www.bilibili.com", 
-    //   "https://www.ccw.site", 
-    //   "https://ccw.site", 
-    //   "https://learn.ccw.site", 
-    //   "https://learn-qa.xiguacity.cn"
+    //   // 境内不能直连的，非必要
+    //   "https://scratch.mit.edu",
+    //   "https://youtube.com", // 重定向到 www.youtube.com
+    //   "https://www.facebook.com",
+    //   "https://www.twitch.tv",
+    //   "https://twitter.com", // 重定向到 x.com
+    //
+    //   // 已无 DNS 解析
+    //   "https://qa.cocrea.world",
+    //
+    //   // 西瓜视频已改名为抖音精选，以下旧域名会重定向到 www.douyin.com/jingxuan
+    //   // 目前为止没看到有人嵌入这个网站的视频，非必要
+    //   "https://www.ixigua.com",
+    //   "https://ixigua.com",
+    //
+    //   // bilibili
+    //   "https://bilibili.com",
+    //   "https://player.bilibili.com",
+    //   "https://www.bilibili.com",
+    //
+    //   // CCW
+    //   "https://www.ccw.site",
+    //   "https://ccw.site",
+    //   "https://learn.ccw.site",
+    //   "https://learn-qa.xiguacity.cn" // 已无 DNS 解析
     // ]
     // 或者 origin 包含 "ccw.site" 或 "xiguacity.cn" 。
     // 仅在编辑器里插入的时候会校验，但查看文章的时候加载iframe前不会校验。
@@ -50,8 +75,15 @@ if (location.hostname == 'learn.ccw.site') {
     // 定义自己的白名单
     // 参考 https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Content-Security-Policy/frame-src
     const whitelist = [
+        // CCW 兼容旧文章
+        "https://ccw.site/post/",
+        "https://www.ccw.site/post/",
+
+        // CCW 使用 embed 页面嵌入作品，不会在点开文章的时候立即执行恶意代码
         "https://www.ccw.site/embed",
         "https://ccw.site/embed",
+
+        // bilibili 嵌入视频
         "https://player.bilibili.com/player.html",
         "https://www.bilibili.com/video/",
         "https://bilibili.com/video/",
@@ -62,21 +94,6 @@ if (location.hostname == 'learn.ccw.site') {
     document.head.appendChild(meta)
     console.log('【脚本 CCW代码注入风险警告】自动防御基于 iframe 的代码注入攻击，仅允许白名单网址\n', meta, '\n', whitelist)
 
-} else if (location.hostname == 'm.ccw.site') {
-    // 基于svg的代码注入攻击
-    // 脚本无法防御该攻击，因为攻击者的代码先执行。
-    // 参考 https://github.com/bddjr/CCW-Code-Injection-Risk-Warning/issues/3
-    if (document.contentType == 'image/svg+xml') {
-        try {
-            window.stop()
-        } catch (e) { }
-        alert(`【脚本 CCW代码注入风险警告】
-
-您正在使用标签页访问svg，恶意代码可能已经执行。
-建议您关掉该标签页，然后尽快修改您的账号的密码。
-如果攻击者已经使用您的账号捣乱，请及时向共创世界管理员或鸭鸭院长申诉。`)
-    }
-
 } else {
     // www.ccw.site
 
diff --git a/const meta = document.js b/const meta = document.js
@@ -0,0 +1,4 @@
+const meta = document.createElement('meta')
+meta.setAttribute('http-equiv', 'content-security-policy')
+meta.setAttribute('content', `default-src 'self' 'unsafe-eval' 'unsafe-inline' https://*.ccw.site https://*.xiguacity.cn https://zhishi.oss-cn-beijing.aliyuncs.com/ https://*.qq.com;`)
+document.head.appendChild(meta)
