Content Security Policy (CSP)

为缓解潜在的大规模跨站点脚本攻击问题，Chrome扩展系统已遵循 Content Security Policy (CSP)的理念，引入了严格的策略使扩展更安全，同时提供创建和实施策略规则的能力，这些规则用以控制扩展（或应用）能够加载的资源和执行的脚本。

具体使用，可在Manifest文件中通过content_security_policy字段来配置它，默认的安全策略为 script-src 'self'; object-src 'self'，它会有如下限制 

1. 禁止 eval 及相关函数

2. 禁止内联<script>块和内联事件处理程序(例如，<button onclick="…">)

3. 只有扩展包内的脚本和资源才会被加载！通过Web即时下载的将不会被加载

可以通过 白名单 使用通配符设置哪些外部资源是可以访问的（仅支持 https），如下：

"content_security_policy": "script-src 'self' https://*.xxx.com; object-src 'self'"