- Политика конфиденциальности контента «небезопасная-встроенная» устарела?

Question

Я разрабатываю расширение Chrome, я пытался добавить «небезопасным-инлайн» ПСУ согласно Google Docs

Однако после этого и пытается перезагрузить мое расширение на chrome://extensions/ я получаю:

There were warnings when trying to install this extension: Ignored insecure CSP value "'unsafe-inline'" in directive 'script-src'.

Для исх весь КСФ, как определено в manifest.json:

"content_security_policy": "script-src 'self' 'unsafe-inline' https://localhost:8000; object-src 'self'"

Итак, почему я не могу установить «небезопасный-встроенный»?

Answer 1

Это не устарело, это прекрасно в сети.

Однако это просто не разрешено в расширениях как мера безопасности (и, откровенно говоря, практика эффективной практики).

Documentation объясняет, что вы можете и не можете сделать с CSP.

До Chrome 45 не было механизма ослабления ограничения на выполнение встроенного JavaScript. В частности, установка политики сценария, которая включает в себя «небезопасный-встроенный», не будет иметь никакого эффекта.

Начиная с Chrome 46, встроенные скрипты могут быть в белом списке, указав хэш-код base64 в исходном коде в политике. Этот хеш должен быть префикс используемого хэш-алгоритма (sha256, sha384 или sha512). См. Использование хэша для элементов для примера.

Не использовать встроенные скрипты - это не . В тех же документах будет показано, как с этим бороться.