-
v1.0.8
gegorov released this
2026-05-16 22:25:12 +03:00 | -7 commits to master since this releaseКорневая причина TT-ошибок на YouTube и CSP-ошибки + 403 на kinogo:
cliqz-адблокер регистрирует свой preload-скрипт на уровне сессии через
session.setPreloads(). Этот preload загружается в каждую страницу и инжектит inline<script>элементы (createElement('script')+appendChild(textNode)) — таким способом он нейтрализует анти-адблок-детекторы.Проблема в том, что современные сайты этот способ не принимают:
- YouTube/Gmail — CSP
require-trusted-types-for 'script'блокируетscript.appendChild(text)как небезопасное → 52 ошибки в консоли. - kinogo (Cloudflare) — CSP с обязательным
nonce-...блокирует inline-скрипты без nonce. Скрипт адблокера конфликтует с Cloudflare Challenge JS → CF возвращает 403, считая нас ботом.
В 1.0.8 я снимаю этот preload с сессии сразу после
enableBlockingInSession. Сетевой блок адблокера (запросы к ad-доменам) и CSP-фильтрация остаются — теряем только узкий механизм инжекции анти-анти-адблок-скриптлетов, который ломал больше сайтов чем чинил.Предыдущие попытки (1.0.6 strip-CSP-header, 1.0.7 disable-blink-features) были симптоматическими и не помогли, потому что адблокер перерегистрировал
onHeadersReceivedповерх моего хука. 1.0.8 устраняет источник.Если 403 на kinogo не пропадёт — это уже Cloudflare-bot-mitigation отдельно (UA, TLS-fingerprint, поведение). Сообщи — посмотрим дальше.
Downloads
- YouTube/Gmail — CSP