我正在尝试从复杂的网络应用程序创建 Chrome 打包应用程序。我目前收到错误:
拒绝执行内联事件处理程序,因为它违反了
以下内容安全策略指令:“default-src 'self'
chrome-extension-resource:"。请注意,'script-src' 没有明确指定
设置,因此“default-src”用作后备。
如何在 manifest.json 中显式设置策略?我尝试过类似的事情:
"content_security_policy": "default-src 'inline'; script-src 'inline'"
但我仍然收到相同的错误消息。是我的语法错误,还是这个错误是为了转移注意力?
您无法放松打包应用程序中的默认 CSP。如果你正在做类似的事情<button id="foo" onclick="doSomething()">
那么你应该在 HTML 中包含一个单独的 JS 文件,在其中执行document.querySelector("#foo").onclick = doSomething;
在你的 onload 处理程序中。这将符合 CSP 并使您的应用程序更能抵抗 XSS 攻击。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)