<div dir="ltr">We're about to enable a Content Security Policy (CSP)(1) on <a href="http://bugzilla.mozilla.org">bugzilla.mozilla.org</a>. CSP will mitigate several types of attack on our users and our site, including Cross-Site Request Forgery (XSRF)(2) and Cross-Site Scripting (XSS)(3).<br><br>The first place we're deploying this is in the bug detail page in the new Modal view (which, you may recall, we're making the default view (4)) with a goal for the site to have complete CSP coverage.<br><br>As a side-effect of this work, CSP may break add-ons that modify the bug detail page. If we have broken something of yours, we can quickly fix it. We're already enabling the Socorro Lens add-on(5). You can see how that was addressed(6)<div style="font-family:arial,helvetica,sans-serif;display:inline" class="gmail_default">ā€‹ā€‹</div>.<br><br>Web Extensions can modify the DOM of a bug detail page through `content.js`. You cannot load images, javascript, iframes, form actions, or css from external sites<div style="font-family:arial,helvetica,sans-serif;display:inline" class="gmail_default">ā€‹, uā€‹</div>nless we make an exception for you(7). <br><br>Long term, if you have a feature from an add-on you'd like to make part of BMO, please seek me out on irc://<a href="http://irc.mozilla.org/bteam">irc.mozilla.org/bteam</a> or open a new ticket in the <a href="http://bugzilla.mozilla.org">bugzilla.mozilla.org</a> product in Bugzilla and set the severity to 'enhancement'(8). <br><br>Thank you, <br><br>Emma (šŸžšŸ‘©)<br><br>1: <a href="https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP">https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP</a><br>2: <a href="https://www.owasp.org/index.php/CSRF">https://www.owasp.org/index.php/CSRF</a><br>3: <a href="https://www.owasp.org/index.php/XSS">https://www.owasp.org/index.php/XSS</a><br>4: <a href="https://groups.google.com/forum/#!topic/mozilla.dev.platform/_AFaUi3JQhs">https://groups.google.com/forum/#!topic/mozilla.dev.platform/_AFaUi3JQhs</a><br>5: <a href="https://addons.mozilla.org/en-US/firefox/addon/bugzilla-socorro-lens/">https://addons.mozilla.org/en-US/firefox/addon/bugzilla-socorro-lens/</a><br>6: <a href="https://github.com/ashughes1/bugzilla-socorro-lens/issues/19">https://github.com/ashughes1/bugzilla-socorro-lens/issues/19</a><br>7: <a href="https://wiki.mozilla.org/BMO/Add-on_Registry">https://wiki.mozilla.org/BMO/Add-on_Registry</a><br>8: <a href="https://bugzilla.mozilla.org/enter_bug.cgi?product=bugzilla.mozilla.org&bug_severity=enhancement">https://bugzilla.mozilla.org/enter_bug.cgi?product=bugzilla.mozilla.org&bug_severity=enhancement</a></div>