stillepost と呼ばれるプロジェクトは、一般的なChromium系ブラウザをHTTPトラフィックのアプリケーション層プロキシへと変える、珍しい手法を実証しています。要点は、「インプラント」がインターネットへ直接接続しないことです。代わりにローカルで動作しているChromiumインスタンスと通信し、Chrome DevTools Protocolを介して、必要なHTTPリクエストをブラウザに代行させます。外部から見ると、この活動は通常のブラウザ動作と見分けがつかないように見えます。また、プロキシ設定、認証、PACロジックはすべてブラウザプロファイルから自動的に継承されます。これは通常、ネットワークポリシーやファイアウォールで既に許可されていることが多いプロファイルです。
リポジトリでは、この手法はstillepostという小さなライブラリとしてパッケージ化されており、環境の初期化、ブラウザ経由でのHTTPリクエスト実行、そして適切なリソース解放を伴う正常終了という3つの中核機能を公開しています。JSONの解析は同梱のcJSON依存関係で処理され、外部インストール要件を回避しています。デモとして、作者はEdge経由でPOSTリクエストを送る既製のCクライアントに加え、開発中に「ブラウザ起点」のリクエストを観測するための最小限のPythonテストサーバーを提供しています。概念を検証するために用いられた元のPythonプロトタイプも保存されています。
しかし、このアプローチには重大な制約があります。対象のWebサーバーが任意のオリジンからのCORSリクエストを許可している場合にのみ機能します。テストでは、作者はAccess-Control-Allow-Origin: *を明示的に設定し、必要なメソッドとヘッダーを許可するサーバーに依存しており、ブラウザがリクエストをブロックしないことを保証していました。宛先がCORSを許可していない場合、ブラウザ自体がリクエストを停止し、ユーザーのコンテキスト内でトラフィックを透過的に送出することはできません。
