Chrome 显示错误为：由于 Content-Security-Policy 拒绝执行内联脚本

Question

我正在创建图像裁剪小部件的 Chrome 扩展。我的popup.html的代码如下：

<body>
    <textarea id="widget_script" style="border:1px solid #ccc;padding:5px;width:600px" rows="5" readonly></textarea>
    <script type="text/javascript">
        var protocol=window.location.protocol;
        var host= window.location.host;
        var head=('<div id="wd_id" style="margin-bottom: 20px;"></div>
    <script type="text/javascript" src="http://code.jquery.com/jquery-latest.min.js"></\script>
    <script type="text/javascript" src="'+protocol+'//'+host+'Image_crop/cropimages/img_crop_widget.js'+'"><\/script>
    <script type="text/javascript">init_widget()<\/script>');
        document.getElementById("widget_script").innerHTML=head;
    </script>
</body>

变量 protocol 和 host 从浏览器中的 URL 获取 protocol 和 host。当我尝试将其集成为 Chrome 扩展时，它不起作用。当它完美运行时，它会在 textarea 中显示以下代码：

<div id="wd_id" style="margin-bottom: 20px;"></div>
<script type="text/javascript" src="http://code.jquery.com/jquery-latest.min.js"></script>
<script type="text/javascript" src="http://localhost/cropimages/img_crop_widget.js"></script>
<script type="text/javascript">init_widget()</script>

我有一些事情，比如将 JS 代码放在外部 JS 文件中，并在 manifest.json 中调用该文件，在我的 popup.html 中调用它，但没有任何效果。

谁能告诉我我做错了什么，或者我应该怎么做才能让它发挥作用？

提前谢谢...

Answer 1

来自Chrome extension CSP docs：

内联 JavaScript 将不会被执行。此限制禁止内联 <script> 块和内联事件处理程序（例如 <button onclick="...">）。

您不能在您的扩展 HTML 中包含内联脚本，例如：

<script>alert("I'm an inline script!");</script>

<button onclick="alert('I am an inline script, too!')">

相反，您必须将脚本放入单独的文件中：

<script src="somescript.js"></script>

Answer 2

如果您将 React 与 create-react-app 一起使用：

1. 在项目根目录中创建一个.env 文件

2. 添加变量如下：INLINE_RUNTIME_CHUNK=false

3. 再次构建项目并再次加载扩展。

Source

Answer 3

您必须将content_security_policy 添加到您的manifest.json 文件中：

"content_security_policy": "script-src 'self' 'sha256-B+Qe/KNUDtGDd/m1g5ycAq1DgpLs9ubKmYTlOHBogC8='; object-src 'self'"

你会从控制台找到哈希。

Answer 4

我在开发扩展程序时遇到了这个问题。我删除了扩展并再次加载它使错误消息消失。