我正在尝试在chrome扩展程序中使用dropbox api,但控制台说
拒绝加载脚本 'https://www.dropbox.com/static/api/1/dropins.js',因为它违反了 以下内容安全策略指令:“script-src'self' 铬扩展资源:“
我该如何解决这个问题?
我把它放了 “权限”:[ “https://www.dropbox.com” ]但它仍然无效
答案 0 :(得分:1)
如果您需要从外部域加载脚本,您的扩展程序必须
我发现您已经加载https:所以只需将https://www.dropbox.com添加到您的权限即可解决此问题。
权限应如下所示:
“content_security_policy”:“script-src'self'https://www.dropbox.com; object-src'self'“
从Content Security Policy Documentation
阅读如果您需要一些外部JavaScript或对象资源, 您可以通过白名单安全放松政策 应该接受脚本的起源。我们希望确保这一点 可执行资源加载了扩展程序的提升权限 正是你期望的资源,并没有被一个 活跃的网络攻击者
答案 1 :(得分:0)
我认为,在persmissions中使用通配符很好:
"permissions": "https://*.dropbox.com/*"
以及在脚本列表中包含dropbox.js:
"background": {
"persistent": true,
"scripts": [
"js/dropbox.js",
"js/background.js"
]
},
全部在 manifest.json 文件中。