我是 chrome 扩展的新手。我正在编写一个小插件,当用户按下按钮时会放大页面(非常新)。但是,除非我允许不安全的脚本,否则它不会运行,并且它不会延续到新页面,表面上是因为不安全的脚本。我所做的只是缩放。
我真正想知道的是,如果不是询问信息或直接访问他们的计算机,是什么让脚本不安全?
【问题讨论】:
标签: javascript security web google-chrome-extension
导致脚本对 Google 扩展程序不安全的三件事:
这是一个常见的初学者错误(我已经做到了)。您不能放置内联 JavaScript 语句。例如,你不能这样处理事件:
<img src="myImage.jpg" onclick="doSomething()">
执行此操作的正确方法是为您的 DOM 元素(我的示例中的图像)定义一个 Id,并在单独的 JavaScript 文件中设置事件处理程序:
page.html:
<img src="myImage.jpg" id="myImage">
<script src="script.js"></script>
script.js:
//In vanilla Javascript :
document.getElementById("myImage").onClick(doSomething);
//In JQuery
$("#myImage").on("click", doSomething);
所有可以在运行中将 String 评估为 JavaScript 的函数都是不安全的。
所以eval函数是不允许的,比如new Function("return something.value");
只有本地脚本是安全的。如果您使用例如 jQuery,则必须在扩展中包含该库。通过 CDN 链接加载外部库被认为是不安全的。
这是一个快速概述,您可以阅读更多相关信息并了解有关 Google Chrome 扩展程序Content Security Policy的此限制的说明
【讨论】:
要考虑的另一件事是您如何采购文件。
例如,如果您使用http:// 获取文件,但使用https:// 访问该站点,则会收到不安全脚本错误。
【讨论】: