7

我正在尝试从一个复杂的网络应用程序创建一个 Chrome 打包应用程序。我目前收到错误:

拒绝执行内联事件处理程序,因为它违反了以下内容安全策略指令:“default-src 'self' chrome-extension-resource:”。请注意,'script-src' 没有显式设置,因此 'default-src' 用作后备。

如何在 manifest.json 中明确设置策略?我试过这样的事情:

"content_security_policy": "default-src 'inline'; script-src 'inline'"

但我仍然收到相同的错误消息。我的语法错误,还是错误是红鲱鱼?

4

2 回答 2

14

您不能放松打包应用程序中的默认 CSP。如果你正在做类似的事情,<button id="foo" onclick="doSomething()">那么你应该在 HTML 中包含一个单独的 JS 文件,document.querySelector("#foo").onclick = doSomething;在你的 onload 处理程序中执行一个。这将符合 CSP 并使您的应用程序更能抵抗 XSS 攻击。

于 2013-05-18T21:55:51.597 回答
1

我遇到了同样的问题,在阅读本文档时,我发现了以下内容:

"sandbox": {
    "pages": ["sandboxed.html"]
}
于 2015-01-19T06:37:27.653 回答