Chrome 应用中的内容安全政策

Question

我的 Chrome 应用具有以下清单：

{
    "name": ",
    "version": "1.0.3",
    "manifest_version": 2,
    "description": "Chrome Extension for.",
    "icons": {
        "16": "images/test.png",
        "19": "images/test.png",
        "256": "images/test.png"
    },
    "app": {
        "background": {
            "scripts": [
                "background.js"
            ]
        }
    },

    "sandbox": {
        "js": [
            "lib/test-api.js"
        ]
    },
    "permissions": [
        "<all_urls>",
        "notifications",
        "storage",
        "videoCapture"
    ]
}

我有一个运行eval 的脚本文件。我已阅读有关 CSP 和沙盒的信息，但我仍然收到此错误：

拒绝将字符串评估为 JavaScript，因为 'unsafe-eval' 是 在以下内容安全中不是允许的脚本来源 策略指令：“default-src 'self' chrome-extension-resource:”。 请注意，'script-src' 没有明确设置，所以 'default-src' 是 用作后备。

Answer 1

您是否尝试按照CSP 链接将 CSP 行添加到清单中？

"content_security_policy": "script-src 'self' 'unsafe-eval'; object-src 'self'"

Answer 2

您显示的内容不是Chrome extension，而是Chrome app。
Chrome 扩展程序可以让您放松默认的内容安全策略； Chrome 应用不会。（来源：CSP docs for Chrome apps；注意：此页面与 CSP docs for Chrome extensions 不同）。

下一行适用于应用和扩展程序：

• 内容安全策略不适用于特定脚本，而是整个页面。因此，您只能为整个页面声明一个沙箱（使用sandbox.pages key in the manifest file）。您不能在沙盒中使用“js”作为键。

在 Chrome 扩展程序中，CSP 可以放宽，例如允许eval 使用以下策略：

"content_security_policy": "script-src 'self' 'unsafe-eval'; object-src 'self'"

将您的应用转入扩展程序：不要使用apps 键，而是使用background 键。通过以下清单，您将能够在后台页面中使用 eval：

{
    "name": "Whatever",
    "version": "1.0.3",
    "manifest_version": 2,
    "background": {
        "scripts": [
            "background.js"
        ]
    },
    "content_security_policy": "script-src 'self' 'unsafe-eval'; object-src 'self'"
}

（省略icons/permissions，因为它们与示例无关；省略sandbox，因为不需要）