Voice Over Translation项目在Invidious平台上的CSP策略问题解析

问题背景

Voice Over Translation（简称VOT）是一款优秀的浏览器脚本工具，能够为视频内容提供实时语音翻译功能。然而，当用户在基于Invidious平台的视频网站上使用该脚本时，可能会遇到翻译功能无法正常工作的问题，系统提示"无法请求视频翻译"的错误信息。

问题根源分析

经过深入的技术排查，发现该问题主要源于Invidious平台严格的内容安全策略（Content Security Policy，简称CSP）设置。具体表现为以下两个层面的限制：

1. 脚本执行限制：Invidious平台的CSP策略默认阻止了Function()等动态代码执行方式，导致VOT脚本中的某些必要功能无法正常运行。

2. 媒体资源加载限制：平台的CSP策略对media-src进行了严格限制，仅允许来自特定域名（如googlevideo.com和youtube.com）的媒体资源加载，而VOT生成的翻译音频来自其他域名，因此被阻止。

解决方案

针对上述问题，我们推荐以下几种解决方案：

方案一：完全禁用CSP限制

在Tampermonkey等用户脚本管理器中，找到VOT脚本的设置选项，将"移除CSP"设置为"完全移除"。这一操作将：

• 允许脚本执行必要的动态代码
• 解除对媒体资源加载的限制
• 使VOT能够正常请求和播放翻译音频

方案二：使用专用CSP管理扩展

对于希望保持部分安全策略的用户，可以安装专门的CSP管理扩展程序，仅针对Invidious平台解除特定限制：

1. 安装CSP管理扩展
2. 为Invidious域名添加例外规则
3. 允许script-src和media-src的宽松策略

技术原理深入

CSP是现代浏览器实施的一项重要安全机制，它通过白名单方式控制网页可以加载哪些资源、执行哪些脚本。Invidious平台出于安全考虑设置了严格的CSP策略：

• script-src限制：阻止了eval()和Function()等动态代码执行方式
• media-src限制：仅允许来自Google视频平台的媒体资源

VOT脚本需要这些权限来实现：

1. 动态生成翻译请求
2. 加载来自第三方服务的翻译音频
3. 与页面视频进行同步播放

最佳实践建议

1. 对于普通用户，建议采用方案一（完全移除CSP）以获得最佳体验

2. 对于安全敏感用户，可采用方案二并结合以下措施：

   • 仅对信任的Invidious实例放宽限制
   • 定期检查扩展权限设置
   • 使用最新版本的VOT脚本

3. 开发者方面，未来版本可能会优化脚本以适应更多CSP环境，减少对放宽策略的依赖

总结

Invidious平台严格的CSP策略与VOT脚本的功能需求之间存在天然的冲突。通过合理调整CSP设置，用户可以在保持安全性的同时享受完整的视频翻译功能。理解这些技术限制和解决方案，将帮助用户更好地在不同平台上使用VOT这一强大的翻译工具。