Content Security Policy (CSP)


为缓解潜在的大规模跨站点脚本攻击问题,Chrome扩展系统已遵循 Content Security Policy (CSP)的理念,引入了严格的策略使扩展更安全,同时提供创建和实施策略规则的能力,这些规则用以控制扩展(或应用)能够加载的资源和执行的脚本


具体使用,可在Manifest文件中通过content_security_policy字段来配置它,默认的安全策略为 script-src 'self'; object-src 'self',它会有如下限制 

1. 禁止 eval 及相关函数

2. 禁止内联<script>块和内联事件处理程序(例如,<button onclick="…">)

3. 只有扩展包内的脚本和资源才会被加载!通过Web即时下载的将不会被加载

可以通过 白名单 使用通配符设置哪些外部资源是可以访问的(仅支持 https),如下:

"content_security_policy": "script-src 'self' https://*.xxx.com; object-src 'self'"


举报

© 著作权归作者所有


1