Scrapboxのユーザスクリプト
自分のページにあるcode:script.jsを読み込んで実行する
つまりimportが使える
ファイルのURLは、scrapbox.io/api/code/プロジェクト名/ページ名/ファイル名
相対パスで別のページのjsファイルをimportするとき
import "../ページ名/ファイル名";としてやればいい
CSPがあるので、任意のページにfetchできるわけではない 現時点で許可されているのは、self(https://scrapbox.io), https://i.gyazo.com, wss://scrapbox.io, https://upload.gyazo.com, https://gyazo.com, https://storage.googleapis.com, https://sentry.io
ここは、CSPとSOPがごっちゃになってる気がする。後でなおすlsadsfj.icon
イベントが発生したときに関数を実行
セキュリティ上のリスク
なので、悪意のある人が攻撃対象のユーザスクリプトをいじれる状況にあるとよくない
たとえば、誰でも参加できるプロジェクトのユーザスクリプトをimportしているケースだと、ユーザスクリプトを書き換えられる恐れがある
一応、ユーザスクリプトが変わったときはバナー表示がでるので気づくことはできる
参考
public.icon