feat: firefox nonce retry

Author: WindRunnerMax

packages/force-copy/package.json

@@ -29,7 +29,7 @@
   "devDependencies": {
     "@rspack/cli": "0.2.5",
     "@rspack/plugin-html": "0.2.5",
-    "@types/chrome": "0.0.241",
+    "@types/chrome": "0.0.287",
     "@types/react": "17.0.2",
     "@types/react-dom": "17.0.2",
     "less": "3.0.0",

packages/force-copy/src/content/runtime/script.ts

@@ -9,10 +9,9 @@ export const implantScript = () => {
     // 这里的内容需要跟 WrapperCodePlugin 的 HASH 计算保持一致
     script.innerText = `;(${fn.toString()})();`;
     document.documentElement.appendChild(script);
+    // 在这里仅移除 script 标签, 但不会删除 window 上的属性
+    // 保证在 CSP 限制下可以重试, 且处于隔离环境不会受到影响
     script.onload = () => script.remove();
-    // eslint-disable-next-line @typescript-eslint/ban-ts-comment
-    // @ts-ignore
-    delete window[process.env.INJECT_FILE];
   }
   // #ENDIF
 };

packages/force-copy/src/worker/runtime/script.ts

@@ -45,13 +45,12 @@ export const implantScript = () => {
     });
   }
   // #ENDIF
+
   // #IFDEF GECKO
   logger.info("Register Inject Scripts By Content Script Inline Code");
   // 使用 cross.tabs.executeScript 得到的 window 是 content window
   // 此时就必须要使用 Inject Script 的方式才能正常注入脚本
   // 然而这种方式就会受到 CSP 的限制, 因此在这里处理 CSP 问题
-  // https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/script-src
-  // https://developer.mozilla.org/zh-CN/docs/Mozilla/Add-ons/WebExtensions/API/tabs/executeScript
   // https://developer.mozilla.org/en-US/docs/Mozilla/Add-ons/WebExtensions/API/webRequest/onHeadersReceived
   chrome.webRequest.onHeadersReceived.addListener(
     res => {
@@ -66,7 +65,9 @@ export const implantScript = () => {
         const value = res.responseHeaders[i].value || "";
         const types = value.split(";").map(it => it.trim());
         const target: string[] = [];
-        // 这里的 HASH 在 WrapperCodePlugin 中计算并替换资源
+        // CSP 不支持多个 nonce, 但可以配置多个 hash
+        // 这里的 HASH 会在 WrapperCodePlugin 中计算并替换资源
+        // https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/script-src
         const hashed = "'sha256-${CSP-HASH}'";
         for (const item of types) {
           const [type, ...rest] = item.split(" ");
@@ -76,10 +77,42 @@ export const implantScript = () => {
           }
           target.push(item);
         }
-        // 这里存在一个问题, 扩展的 CSP 总是更倾向于更加严格的模式
+        // 覆盖原有的响应头, 但扩展的 CSP 总是更倾向于更加严格的模式
         // 实际测试中仅有完全抹除标头时, 才可以解决冲突的问题
         res.responseHeaders[i].value = target.join(";");
+        // 如果存在 nonce 的配置, 则尝试注入 Inject Script
+        const nonce = /'nonce-([-+/=\w]+)'/.exec(value);
+        if (nonce && nonce[1]) {
+          const nonceId = nonce[1];
+          const code = `
+          if (window["${process.env.INJECT_FILE}"] && document instanceof XMLDocument === false) {
+            const script = document.createElementNS("http://www.w3.org/1999/xhtml", "script");
+            script.setAttribute("type", "text/javascript");
+            script.innerText = \`;(\${window["${process.env.INJECT_FILE}"].toString()})();\`;
+            script.nonce = "${nonceId}";
+            document.documentElement.appendChild(script);
+            script.onload = () => script.remove();
+          };`;
+          const onUpdate = (_: number, changeInfo: chrome.tabs.TabChangeInfo) => {
+            if (changeInfo.status !== "loading") return void 0;
+            // https://developer.mozilla.org/zh-CN/docs/Mozilla/Add-ons/WebExtensions/API/tabs/executeScript
+            cross.tabs
+              .executeScript(res.tabId, {
+                allFrames: true,
+                code: code,
+                runAt: "document_start",
+              })
+              .catch(err => {
+                if (__DEV__) logger.warning("Inject Script", err);
+              });
+            cross.tabs.onUpdated.removeListener(onUpdate);
+          };
+          // https://developer.mozilla.org/en-US/docs/Mozilla/Add-ons/WebExtensions/API/tabs/onUpdated
+          // @ts-expect-error filter params
+          cross.tabs.onUpdated.addListener(onUpdate, { tabId: res.tabId });
+        }
       }
+      // 返回修改后的响应头配置
       return {
         responseHeaders: res.responseHeaders,
       };