Gee*_*Jan 3 google-chrome-extension content-security-policy
我正在开发Chrome扩展程序,我尝试根据Google文档添加“ unsafe-inline” CSP
但是,这样做并尝试在重新加载扩展程序后,chrome://extensions/我得到:
There were warnings when trying to install this extension:
Ignored insecure CSP value "'unsafe-inline'" in directive 'script-src'.
对于ref,整个CSF定义manifest.json如下:
"content_security_policy": "script-src 'self' 'unsafe-inline' https://localhost:8000; object-src 'self'"
那么,为什么我不能设置'unsafe-inline'?
它不被弃用,在网络上完全可以使用。
但是,作为安全措施,扩展中根本不允许这样做(坦率地说,良好实践的实施)。
文档说明了使用CSP可以做什么和不能做什么。
直到Chrome 45为止,还没有任何机制可以放宽执行内联JavaScript的限制。特别是,设置包含“ unsafe-inline”的脚本策略将无效。
从Chrome 46开始,可以通过在策略中指定源代码的base64编码的哈希将内联脚本列入白名单。该哈希必须以使用的哈希算法(sha256,sha384或sha512)作为前缀。有关示例,请参见元素的哈希用法。
不要使用内联脚本- 不需要。相同的文档将显示如何处理它。
| 归档时间: |
|
| 查看次数: |
5477 次 |
| 最近记录: |