このリンクに照らしてみると、recaptcha オブジェクトをページに挿入するために使用されるようなインライン スクリプトのように見えます。
<script type="text/javascript"
src="http://www.google.com/recaptcha/api/challenge?k=your_public_key">
</script>
<noscript>
<iframe src="http://www.google.com/recaptcha/api/noscript?k=your_public_key"
height="300" width="500" frameborder="0"></iframe><br>
<textarea name="recaptcha_challenge_field" rows="3" cols="40">
</textarea>
<input type="hidden" name="recaptcha_response_field"
value="manual_challenge">
</noscript>
または経由
<script type="text/javascript" src="http://www.google.com/recaptcha/api/js/recaptcha_ajax.js"></script>
と
Recaptcha.create("your_public_key",
"element_id",
{
theme: "red",
callback: Recaptcha.focus_response_field
}
);
manifest.json がhttp://www.google.com/recaptcha/api/js/recaptcha_ajax.jsのような URL を許可しているように見えるにもかかわらず、コンテンツのセキュリティ ポリシーについて常に苦情が寄せられます。
この質問全体を狂わせる本当に明白な何かが欠けていますか?