Política em scripts externo do Sleazy Fork

Sleazy Fork is available in English.

Sleazy Fork permite o uso de código externo em casos específicos. Qualquer código que estiver incluindo código externo fora do que é permitido está sujeito a ser deletado. Se você encontrar código violando essas regras, por favor denuncie.

Note que essas regras são aplicadas somente para códigos externos que sejam executáveis. Códigos não-executáveis como JSON ou CSS são permitidos.

Justificativa

User scripts have the technical ability to load and execute other scripts. This can be done in a few different ways, including:

The @require and @resource metadata keys.
XmlHttpRequest to download the script, then eval to execute.
Adding a <script> tag dynamically.
Webpack's externals option.
Performing an update of the script, whether performed automatically or by directing the user to perform an action.

While this is a useful feature and most script authors use this for legitimate purposes, it can also be used maliciously. One of the core principles of Sleazy Fork is that the user must be able to inspect the code in a script. External scripts can bypass this principle in a number of ways: they can change without warning or history, they can serve up different code to different people, and they can be used to hide malicious code in the middle of known libraries. Even if someone were to check an external script and determine it to be legitimate, that would be no guarantee that that script always has been or always will be legitimate.

Códigos externos permitidos

A seguir estão os casos em que códigos externos são permitidos em Sleazy Fork. Em outro caso, todas rules for code são aplicadas à códigos externos.

Redes de distribuição de conteúdo (CDNs)

Códigos de CDNs (Redes de distribuição de conteúdo) são permitidas. See a list of recognized CDNs. Esse código pode estar reduzido (minified), mas não ofuscado.

Códigos com chaves de integridade de sub recursos

O uso de @require e @resourcecom URLs com subresource integrity em Tampermonkey format é permitido.

Sleazy Forkbibliotecas

Códigos publicados como bibliotecas em Sleazy Fork são permitidas. Bibliotecas podem ser criadas escolhendo a opção ao criar um novo código. Também podem serem sincronizadas a partir de uma URL externa, como por exemplo um repositório no Github.

Injeção de códigos a partir do servidor de origem

A injeção de scripts externos do mesmo domínio é permitida. Se um script é executado em https://exemplo.com, e baixa https://exemplo.com/script.js, modifica e injeta de volta em https://exemplo.com/, isso é permitido.

Se https://exemplo.com/script.js é injetado em https://sitediferente.com, isso é proibido.