1

コンテンツセキュリティポリシーについては、http: //developer.chrome.com/extensions/contentSecurityPolicy.htmlから読みました。

そこでは、「外部のJavaScriptまたはオブジェクトリソースが必要な場合は、スクリプトを受け入れる必要のある安全なオリジンをホワイトリストに登録することで、ポリシーをある程度緩和することができます」と述べられています。

この例は、manifest.jsonに次の行を追加する必要があることを示しています。

"content_security_policy": "script-src 'self' https://example.com; object-src 'self'"

しかし、 https://example.comだけでなく、すべてのWebサイトをサポートしたい場合はどうでしょうか。ところで-「評価されたJavaScript」を含めることも可能ですか:それに'unsafe-eval'?代わりに何を書くべきですか?

4

1 に答える 1

3

あなたが参照しているページには、「man-in-the-middle攻撃は些細であり、HTTPを介して検出できないため、これらの発信元は受け入れられません」と明示的に記載されています。したがって、http:発信元はすぐにわかります。Chrome拡張機能で許可されているすべての安全なオリジンを、プロトコルのみのソースでホワイトリストに登録できますscript-src 'self' https:。これは、Chrome拡張機能内で実行できる最善の方法です。ウェブ全体では、ホワイトリストに登録できますscript-src http: https:

他の質問に対して、'unsafe-eval'拡張機能で許可されるようになりました。以前のバージョンのChromeでは許可されていませんでしたが、Googleは最近その立場を逆転させたようです。

于 2012-12-12T14:47:11.513 に答える