在Google chrome documentation中,我发现可以添加内容安全策略,以允许外部javascript文件在我的扩展程序上工作。
但是我找不到如何添加多个。是一个字符串数组吗?
"content_security_policy": "script-src 'self' https://example.com; object-src 'self'"
我试图像这样放置多行,但不起作用。出现错误:
拒绝加载脚本https://example.com,因为它违反了以下内容安全策略指令:“ script-src'self'https://example.com”。请注意,未明确设置“ script-src-elem”,因此将“ script-src”用作备用。
答案 0 :(得分:1)
CSP策略是一个字符串(包含用指令和其参数分号分隔的列表)。它适用于所有扩展页面。
如果您需要具有多个来源的单个策略,则可以执行此操作。实际上,您已经知道:JQuery和'self'是两个来源。
一般性地了解CSP和https://example.com指令,例如on the MDN。
语法
script-src政策可以允许一个或多个来源:script-src
因此,您只需要在Content-Security-Policy: script-src <source>;
Content-Security-Policy: script-src <source> <source>;
和分号之间用空格隔开即可。
确保您的源文件不包含路径。
例如。 script-src可以,但是https://example.com或https://example.com/不能。
如果您需要针对不同页面的多个独立策略,恐怕您不能这样做。