致所有 UserScript 开发者与用户，请检查你开发/使用的脚本是否有这样的漏洞。

資深大佬 : imdong 4

如果你开发 /使用的 UserScript 脚本中申请了 GM_xmlhttpRequest 权限，请检查是否有将 GM_xmlhttpRequest 函数传入了 unsafeWindow。

如果有，则使用此脚本的用户在访问有恶意的内容的网站时，可能会导致 @connect 中授权的网站受到攻击或控制。

首当其冲的是 GreasyFork 等类似网站上发布过脚本的开发者，请不要保持登录。

虽然不知道是否有这样的脚本攻击，但的确可以实现通过修改你的脚本来传播漏洞 /恶意脚本的风险。

GreasyFork may cause users who use vulnerable UserScript to be attacked when visiting malicious websites.

不太确认这样说是不是有点小题大做，但是是有一定风险的，特别是 GreasyFork 修改密码还不需要确认旧密码。

大佬有話說 (4)

資深大佬 : dbw9580

https://wiki.greasespot.net/UnsafeWindow
这是 feature，不是 bug

資深大佬 : Mutoo

所以叫 unsafe* 是有原因的。

資深大佬 : imspace

讲道理没什么人会这么写吧…. unsafeWindow.GM_xmlhttpRequest = GM_xmlhttpRequest, UserScript 自己有自己的 scope, 为什么还要放到原 window 里?

主資深大佬 : imdong

@dbw9580 有些开发者可能并不知道这个警告。

@Mutoo 我在 Tampermonkey 中测试，window 和 unsafeWindow 是等效的。有可能是开发者的无意之举

@imspace 正是因为我发现有这样的脚本，所以才特别关注了这件事。

我是发现了一个安装量不算小的脚本有这样的问题，才发出来的。

而这个问题已经反馈给脚本的开发者了，脚本的开发者也在论坛上。