如何在Chrome开发者控制台中注入jQuery？

这里有一个对我总是有效的直接方法：

var jq = document.createElement('script');
jq.src = "https://ajax.googleapis.com/ajax/libs/jquery/2.2.4/jquery.min.js";
document.getElementsByTagName('head')[0].appendChild(jq);

// ... give time for script to load, then type (or see below for non wait option)
jQuery.noConflict();

只需将每行逐个粘贴到控制台中。 （实际上，如果您选择了这些行并将它们一次性粘贴到DevTools控制台中，则可以正常工作）。

您可能会立即看到一个错误：Uncaught ReferenceError: jQuery is not defined。 忽略它-DevTools在开玩笑。 （也许是Google的幽默尝试...）

然后，在DevTools控制台中进行测试：

$('div').length; //press Enter

如果您遇到错误，请尝试以下方法：

jQuery('div').length

希望第一个方法可行 - 但有时需要使用第二种方法。

这段代码归功于jondavidjohn，摘自于这篇原始帖子。

使用 代码片段。

1. 复制jQuery代码并粘贴到代码片段中。
2. 运行代码片段。

很不幸，由于最新的防止“跨站脚本攻击（XSS）”热潮，这些插件现在已经不再起作用。这些更改背后可能有一种高尚的目的，我只是想了解发生了什么变化。我认为这与“内容安全策略（CSP）”有关，我最近才听说并且知之甚少。
是的。这些插件无法正常工作的原因是它们与恶意攻击者可以注入任意JavaScript的MITM（中间人）攻击无法区分。CSP旨在通过仅运行来自受信任源的白名单JavaScript来防止发生这种情况。不幸的是，在Chrome或Firefox中目前没有简单的方法来处理此问题，直到开发人员将插件作者注入的JavaScript/CSS列入白名单。这是不太可能发生的，因为Chrome有一个应用程序开发人员指南，介绍如何符合CSP策略。
同时，我建议您阅读OWASP关于XSS的文章，以便了解其重要性。

不推荐的方法

您可以从Chrome商店下载“禁用内容安全策略”插件。仅在本地开发中使用此选项。请记住，如果这样做，恶意ISP或专用攻击者仍然可以在MITM攻击中注入脚本（例如，如果他们控制您的路由器）。

推荐的方法

不要注入jQuery，而是将其放在页面中。添加一个 CSP 标签：

<meta http-equiv="Content-Security-Policy" content="...">

这里你需要放置类似于default-src 'self'; script-src https://cdn.com/jquery的东西，其中cdn.com是你从中下载jQuery的地方。更进一步并添加子资源完整性哈希。如果CDN被攻击、成为恶意网站或者你被MITM攻击，哈希将不匹配，恶意脚本将无法加载。此外，出于同样的原因，你永远无法真正信任插件。
如果你决定不使用CDN，可以使用包管理器（如node或Bower）为你下载特定版本的jQuery。然后只需在本地加载即可。当然，在生产环境中，通常要使用CDN，以便访问者可以从更近的数据中心下载。另外，如果你正在使用Cloudflare，他们很可能已经缓存了该特定版本的jQuery，因此不必再次下载。 原型制作 如果你的动机是原型制作，那么有解决方法: 不推荐: 你可以爬取网站，进行修改，然后呈现给客户。 推荐：不要在一个正在运行的网站上进行修改，而应该进行快速原型设计。这样做的优点是：

• 如果你和客户一起坐下来，客户可以看到你正在做什么

• 你正在处理抽象的原型，而不是具体的细节，这些细节应该在合同中规定。有关骨架屏幕的问题，请参见ux.stackexchange.com

• 你可以向客户解释为什么不能做X（将jQuery注入实时站点），而应该做Y（请参见答案的其余部分），这将希望说服他们采用更好的安全实践

• 原型可以很快地搭建起来并且很容易被丢弃，你甚至可以保留修订版本以进行比较。对现有网站的更改并不容易实现这一点。

你可以制作一个非常基本的Chrome扩展程序，它只是在每个页面上注入JQuery。开始使用Chrome扩展程序。您可以使用以下代码在清单中指定它。

"content_scripts": [
     {
          "matches": ["*"],
          "js": ["jquery.min.js"]  }
]

请注意，匹配中的*将在每个网页上注入脚本。您也可以使用不同的模式。例如，“www.abc.com/*”将匹配所有以“www.abc.com”开头的URL，并仅在这些页面上注入脚本。
更好的解决方案是创建一个Chrome扩展程序，当您单击扩展图标时，它可以在当前选项卡中注入您的JavaScript文件。
创建一个后台脚本并在清单中指定它。

manifest.json

{
  "name": "My Extension",
  "version": "0.1",
  "manifest_version": 2,
  "description": "inject script",
  "browser_action": {
    "default_icon": "logo.png"
  },
  "permissions": [
    "activeTab"
  ],
  "background": {
    "scripts": ["background.js"]
  }
}

在您的后台脚本中，监听扩展程序图标的点击事件，并在当前标签页中注入jquery。

background.js

chrome.browserAction.onClicked.addListener(function(tab) {
  chrome.tabs.executeScript(null, {file: "jquery.min.js"});
});

最简单的方法是将整个代码复制到开发控制台中执行，然后看魔法发生：

var script = document.createElement('script');
script.src = "https://code.jquery.com/jquery 3.4.1.min.js";
document.getElementsByTagName('head')[0].appendChild(script);