我有一个Firefox扩展程序通过chrome:// url显示自己的HTML页面,其中的脚本以chrome权限运行。对于用户来说'安全性,我想在此页面中添加内容安全策略。
显而易见的事情是通过< meta>添加它。标签,但Firefox(bug 663570)尚不支持。 更新:错误663570已在Firefox 45中修复,但我尝试使用标记导致Firefox崩溃。 Bug 923902似乎是值得关注的新错误。
现在有没有办法实施CSP?为chrome:// URL伪造适当的HTTP标头的一些方法?