feat(csp): CSP 规则管理功能

[boommanpro]

新增 CSP (Content-Security-Policy) 规则管理模块，支持移除或修改网页 CSP 头。

功能特性：

• 全局开关：一键移除所有网页 CSP 头，无需配置规则
• 规则管理：创建/编辑/删除/启用/禁用 CSP 规则
• 匹配模式：支持精确匹配、通配符、正则表达式、域名匹配四种模式
• 模式匹配引擎：参考 wproxy/whistle 规范实现
  • *.domain 单级子域 / **.domain 多级子域 / ***.domain 根域+多级子域
  • ^ 前缀路径通配符：* 单级 / ** 多级 / *** 任意字符
  • 协议通配符 http*:// / 混合通配符 test.abc**.com
• 模式测试：Drawer 内置测试工具，实时验证匹配结果
• 帮助文档：右侧 Drawer 展示匹配模式指南
• 优先级自动递增：创建/更新时自动避免 priority 冲突

技术实现：

• 基于 chrome.declarativeNetRequest API 拦截并修改响应头
• Service/Client/Repo 三层架构，直接回调模式确保 DNR 规则实时更新
• chrome.storage.local 持久化配置和规则数据
• 63 个单元测试覆盖所有匹配模式

新增文件：

• src/app/repo/cspRule.ts (数据层)
• src/app/service/service_worker/cspRule.ts (服务层)
• src/app/service/service_worker/cspInterceptor.ts (拦截器)
• src/pages/options/routes/CSPRule/index.tsx (UI 页面)
• src/pkg/utils/patternMatcher.ts (匹配引擎)
• tests/pkg/utils/patternMatcher.test.ts (单元测试)

Checklist / 检查清单

• Fixes mentioned issues / 修复已提及的问题
• Code reviewed by human / 代码通过人工检查
• Changes tested / 已完成测试

Description / 描述

Screenshots / 截图

原始未开启截图

成功截图

测试代码

// ==UserScript==
// @name         GitHub 页面加载完成执行脚本
// @namespace    http://tampermonkey.net/
// @version      1.0
// @description  GitHub 页面加载完成执行脚本
// @author       助手
// @match        https://github.com/*
// @grant        none
// @run-at       document-end
// ==/UserScript==

(function() {
    'use strict';

    console.log('=== CSP unsafe-eval 测试开始 ===');

    // 1. eval
    function testEval() {
        try {
            eval('console.log("eval 执行")');
        } catch (e) {
            console.error('eval 被 CSP 拦截:', e);
        }
    }

    // 2. new Function
    function testNewFunction() {
        try {
            const fn = new Function('console.log("new Function 执行")');
            fn();
        } catch (e) {
            console.error('new Function 被 CSP 拦截:', e);
        }
    }

    // 3. setTimeout 字符串
    function testSetTimeoutString() {
        try {
            setTimeout('console.log("setTimeout 字符串执行")', 100);
        } catch (e) {
            console.error('setTimeout 字符串被 CSP 拦截:', e);
        }
    }

    // 4. setInterval 字符串
    function testSetIntervalString() {
        try {
            setInterval('console.log("setInterval 字符串执行")', 1000);
        } catch (e) {
            console.error('setInterval 字符串被 CSP 拦截:', e);
        }
    }

    // 批量执行
    testEval();
    testNewFunction();
    testSetTimeoutString();
    testSetIntervalString();

    console.log('=== 测试完成 ===');
})();

历史讨论：#1264

[CodFrm]

级别提这么高吗？我觉得做在设置中就差不多了

[CodFrm]

在 #1264 说到了，改为modify header的功能，我正有此意，看现在的模式也很容易的修改，具体如何实施还需要考虑一下

另外这个功能一般用户应该很少用到，也不是很重要/核心的功能，我觉得放到tools中更好（我已经进行了调整）：

[cyfung1031]

我修改一下

感觉 pattern 这块有点问题
wproxy/whistle 规范 参考资料不多，对 domain only 和 including subdomain 的区分这块没有写什么

我参考了一下吧。再配合一下 DNR的设计

*: Equivalent to regex /[^/?.]*/ (i.e., 0 or any number of non-. characters in the domain)
**: Equivalent to regex /[^/?]*/ (i.e., 0 or any number of characters in the domain)
*** (and above): Not recommended

*** .... = /.*/

example.com: example.com, sub.example.com, a.b.example.com
//example.com: example.com

abc123: invalid

/abc123: 所有网域， path 为 abc123
//**/abc123: 所有网域， path 为 abc123
**/abc123: 所有网域， path 为 abc123

由单一/ 分割成 domain 和 path
由 // 决定要不要包含子域
（有 *** 的話不分)

regex:
/abc/i 是 regex
*://**/abc/i 是 path

这样的话比较直观
也不会太复杂

[boommanpro]

进展如何，还需要我支持什么不~

[cyfung1031]

进展如何，还需要我支持什么不~

主要在于卡在这个url匹配的问题
大多网站都是SPA, 进去后转换网址就会不对网址触发
所以我在想把这个简单化一点，改为针对整个网域
然后应该也不用一个一个网域写
应该可以一个规则对应多个网域，而一个网域又能对应多个规则
但还是没有一个实际具体的UI/UX想法

另外是 CodFrm他好像在搞UI重构，想先等那个定下来再看看

[cyfung1031]

然后上面又影响到 脚本猫 的定位
集成太多功能也可能很难通过审查 (好像agent mode过不了？ )