在Chrome扩展程序中使用google javascript客户端库时,如果响应类型为id_token,则需要“unsafe-eval”权限。有什么方法可以避免这种情况吗?
答案 0 :(得分:2)
上次我检查了Chrome扩展程序中不支持JSAPI客户端库。即使是这样,我强烈建议你避免使用它。
使用内置的chrome.identity API处理oauth然后滚动您自己的Google API调用会更容易,更安全。
答案 1 :(得分:0)
在Chrome扩展程序中使用eval()函数需要在manifest.json中声明'unsafe-eval'权限,无论该扩展程序中是否存在Goole Javascript客户端库。
评估的JavaScript 。针对eval()的策略及其相关内容,如setTimeout(String),setInterval(String)和new Function(String) 可以通过在您的政策中添加“unsafe-eval”来放宽:
“content_security_policy”:“script-src'self''unsafe-eval'; object-src'self'”
但是,我们强烈建议不要这样做。这些功能是 臭名昭着的XSS攻击媒介。
有关详细信息,请参阅官方Google文档 Content Security Policy