如何修复chrome-extension内联JavaScript调用错误?

时间:2016-04-14 11:49:03

标签: javascript google-chrome google-chrome-extension content-security-policy

我正在制作Chrome扩展程序但是当我尝试启动onclick()事件时,我似乎遇到以下错误。 

Refused to load the script 'https://apis.google.com/js/client.js?onload=handleClientLoad' because it violates the following Content Security Policy directive: "script-src 'self' blob: filesystem: chrome-extension-resource:"


Refused to execute inline event handler because it violates the following Content Security Policy directive: "script-src 'self' blob: filesystem: chrome-extension-resource:". Either the 'unsafe-inline' keyword, a hash ('sha256-...'), or a nonce ('nonce-...') is required to enable inline execution.

这是我的manifest.json:

{
  "manifest_version": 2,

  "name": "SECURE",
  "description": "this extension offers secure communication for GMAIL     users",
  "version": "1.0",

 "browser_action": {
 "default_icon": "resources/icon16.png",
 "default_popup": "popup.html",
 "default_title": "Click here!"


 },

 "background":{
   "scripts":["background.js"]
},

 "content_scripts": [
  {
   "matches": ["http://*/*", "https://*/*"],
   "js":["myscript.js"],
   "run_at": "document_end"
  }
  ],
"permissions": ["identity", "https://accounts.google.com/*",  "https://www.googleapis.com/*"],

"oauth2": {
   "client_id": "975410329966.apps.googleusercontent.com",
 "scopes": [
   "<all urls>",
   "https://www.googleapis.com/auth/drive",
   "https://mail.google.com/",
   "https://www.googleapis.com/auth/gmail.login",
   "https://www.googleapis.com/auth/gmail.compose",
   "https://www.googleapis.com/auth/gmail.readonly",
   "https://www.googleapis.com/auth/gmail.send"
  ],

 "content_security_policy":"script-src 'self'  'unsafe-inline' 'unsafe eval'  https://apis.google.com/js/client.js?; object-src 'self'"


}
}

非常感谢任何帮助修复此错误。

3 个答案:

答案 0 :(得分:11)

默认情况下Content Security Policy,不会加载内联脚本,只能加载本地脚本。您可以通过以下方式放宽默认政策:

  1. 内联脚本。看一下Official Guide,可以通过在策略中指定源代码的base64编码哈希来将内联脚本列入白名单。有关示例,请参阅Hash usage for elements

    但我相信更好的方法是将此逻辑提取到单独的脚本而不使用内联脚本。

  2. 远程脚本。您可以通过https://apis.google.com/js/client.js?onload=handleClientLoad

    中的以下部分将脚本资源manifest.json列入白名单 
    "content_security_policy":"script-src 'self' https://apis.google.com; object-src 'self'"

    此外,我认为更好的方法是下载远程client.js并将其作为本地脚本包含。

    3. 请注意,根据Inline Script的说明,unsafe-inline不再有效。

      

    直到Chrome 45,没有放松限制执行内联JavaScript的机制。特别是,包含'unsafe-inline'的脚本策略不会产生影响。

答案 1 :(得分:3)

我通过将所有内容外包到 JavaScript 文件中解决了这个问题。 因此,我在 JS 文件中使用了 html 中的 onclick 方法:

window.onload = function () {
    document.getElementById("button").onclick = <function>;
}

答案 2 :(得分:0)

您可以在外部文件中使用它来代替 onclick:

document.getElementById("#divId").addEventListener("click", myFunction);
相关问题
最新问题