2

Chrome 给我以下错误:

Refused to load the script 'http://domain.com/myexternalscript.js' because it violates the following Content Security Policy directive: "script-src 'self' 'unsafe-eval'"

目前,在我的清单中,我的内容安全政策如下:

"content_security_policy": "script-src 'self' 'unsafe-eval'; object-src 'self'"

如何更改我的安全策略以允许脚本运行?

4

1 回答 1

4

在普通页面上,您可以使用

script-src 'self' 'unsafe-eval' domain.com; ...

但扩展只允许通过 HTTPS 的外部脚本。你需要使用

script-src 'self' 'unsafe-eval' https://domain.com;

并通过 HTTPS 提供您的脚本。

您必须将要使用的每个外部域列入白名单。您可以使用通配符来匹配任何子域:https://*.domain.com.

有关详细信息,请参阅 Google 关于放宽默认 CSP的扩展文档。另请参阅 MDN 的页面Using Content Security Policy

于 2013-08-29T17:31:13.947 回答