Tampermonkey沙盒环境中JSON.parse方法失效问题解析

问题背景

在Tampermonkey用户脚本开发过程中，开发者F9y4ng遇到了一个特殊问题：当访问特定网站(ww7.manganelo.tv)时，脚本中调用的JSON.parse方法出现了异常。这个问题在Chromium浏览器(版本120)上出现，但在Firefox中却能正常工作。

问题现象

开发者创建了一个简单的测试脚本，主要功能是打印JSON对象及其方法：

(function() {
  'use strict';
  console.log(1,JSON);
  console.log(2,JSON.stringify);
  console.log(3,JSON.parse);
})();

在访问目标网站时，JSON.parse方法无法正常调用，出现了错误提示。这个问题在Tampermonkey 5.0.1/5.0.6192 BETA版本和Windows 10环境下重现。

技术分析

沙盒环境特性

Tampermonkey默认在沙盒环境中执行用户脚本，这个沙盒环境会隔离网页原有的全局对象(window)，以防止恶意脚本对用户脚本造成影响。在理想情况下，沙盒中的window对象应该包含原始的、未被修改的全局方法和属性。

问题根源

1. Chromium与Firefox差异：这个问题只在Chromium内核浏览器中出现，说明与浏览器对沙盒环境的实现方式有关。

2. 网站干扰：目标网站可能通过某些方式修改或污染了全局JSON对象，而Tampermonkey的沙盒隔离在Chromium上未能完全阻止这种污染。

3. 沙盒机制限制：Tampermonkey的沙盒实现可能在某些情况下无法完全保护原生API不被修改。

解决方案

1. 使用DOM沙盒模式

开发者7nik建议使用@sandbox DOM指令：

// @sandbox DOM

这种模式会使用更严格的沙盒环境，但需要注意：

• 需要用户在Tampermonkey设置中允许此模式
• 如果脚本需要使用unsafeWindow，则此方案不适用

2. 通过iframe获取纯净环境

开发者F9y4ng采用了通过GM_addElement创建iframe的方式来获取未被污染的JSON对象：

GM_addElement("iframe", {
  onload: function() {
    const cleanJSON = this.contentWindow.JSON;
    // 使用cleanJSON.parse等纯净方法
  }
});

这种方法利用了iframe的独立环境特性，能够确保获取到原始的JSON方法。

3. 其他潜在解决方案

• 提前捕获方法：在脚本最开始处保存原生方法的引用
• 使用Tampermonkey API：建议Tampermonkey提供专门API获取原生方法

最佳实践建议

1. 关键API备份：在脚本开始时保存重要原生API的引用
2. 环境检测：添加对关键API的可用性检查
3. 错误处理：对可能失效的API调用添加备用方案
4. 浏览器兼容性测试：在多个浏览器中测试脚本行为

总结

这个问题揭示了浏览器扩展沙盒环境实现中的一些微妙差异。开发者在使用Tampermonkey开发用户脚本时，特别是在需要依赖原生API的场景下，应当考虑环境隔离带来的影响，并采用适当的防护措施。通过iframe获取纯净环境或使用DOM沙盒模式都是可行的解决方案，开发者可以根据具体需求选择最适合的方法。