Violentmonkey用户脚本注入失败问题分析与解决方案

问题现象

在使用Violentmonkey扩展运行用户脚本时，部分网站（如GitHub）会出现脚本无法注入的情况。控制台会显示类似错误信息："Content-Security-Policy: The page's settings blocked an inline script (script-src-elem)"。这个问题主要出现在Firefox浏览器配合Violentmonkey 2.31.0版本环境下。

技术背景

现代网站普遍采用内容安全策略(CSP)来增强安全性，防止XSS攻击。GitHub等网站设置了严格的CSP策略，默认会阻止未经授权的外部脚本执行。当用户脚本尝试以"page"模式注入时，会被视为内联脚本而遭到拦截。

根本原因

Violentmonkey提供了多种脚本注入方式：

1. @inject-into page - 直接将脚本注入页面上下文
2. 默认方式 - 通过扩展的隔离环境执行

使用@inject-into page时，脚本会被视为页面自身脚本，受到网站CSP策略的限制。而GitHub等网站的CSP策略明确禁止了未经批准的内联脚本执行。

解决方案

方案一：移除page注入模式

修改脚本元数据，移除@inject-into page指令：

// ==UserScript==
// @name        示例脚本
// @match       https://*/*
// @run-at      document-start
// @grant       none
// ==/UserScript==

方案二：使用wrappedJSObject访问页面变量

当需要访问页面上下文变量时，可以通过wrappedJSObject安全地跨域访问：

const pageWindow = unsafeWindow.wrappedJSObject;
// 安全访问页面变量

方案三：调整脚本执行时机

将@run-at从document-start改为document-end或document-idle，降低被CSP拦截的概率。

最佳实践建议

1. 尽量避免使用@inject-into page，除非确实需要直接操作页面上下文
2. 优先使用Violentmonkey提供的API和GM_*方法
3. 对于必须访问页面变量的场景，使用wrappedJSObject进行安全访问
4. 在脚本开发阶段，先在控制台测试目标网站的CSP策略

兼容性说明

此问题主要影响：

• Firefox浏览器
• 严格CSP策略的网站（如GitHub、Twitter等）
• Violentmonkey 2.x版本

Chrome浏览器由于实现机制不同，出现此问题的概率较低。

通过以上调整，可以解决大多数因CSP策略导致的用户脚本注入失败问题，同时保持良好的安全性和兼容性。