现象

某些网站上你会发现油猴脚本或者其他方式注入的js代码无效，其实是基于服务器安全机制导致的，只要以当前这种方式注入，无论如何都是无效的

例子

比如某乎网站就无法注入脚本，导致我的便捷插件无法启动，我猜他是为了防止简单爬虫或者其他平台抓取数据的应付原因。

原因

在其主网页页面中查找response参数，你会找到·Content-Security-Policy·，其中包含的src只能来自几个自己和几个平台的访问

default-src * blob:;
img-src * data: blob:;
connect-src * wss: blob:;
frame-src 'self' *.zhihu.com weixin: *.vzuu.com getpocket.com note.youdao.com safari-extension://com.evernote.safari.clipper-Q79WDW8YH9 zhihujs: captcha.guard.qcloud.com;
 script-src 'self' blob: *.zhihu.com res.wx.qq.com 'unsafe-eval' unpkg.zhimg.com unicom.zhimg.com captcha.gtimg.com captcha.guard.qcloud.com pagead2.googlesyndication.com i.hao61.net 'nonce-b75d4f05-e019-4c5b-97d0-036f93c2bfc3';
 style-src 'self' 'unsafe-inline' *.zhihu.com unicom.zhimg.com captcha.gtimg.com

其他方案

你可以创建safari插件和chrome插件，这样可以跳过这层安全机制，但对于同一个插件要分开处理了。