使用 Google API 的 Chrome 清单

我需要一些关于如何获取扩展的 chrome 清单以允许服务器和应用程序之间进行 Google API 对话的建议。当我直接指向应用程序（而不是扩展）时，应用程序加载正常。

但是我的问题是，当我将其作为扩展加载时，出现以下错误：

Refused to evaluate a string as JavaScript because 'unsafe-eval' is not an allowed source of script in the following Content Security Policy directive: "script-src 'self' https://apis.google.com/".

该应用程序旨在与 Google 的日历 API 进行交互。

这是我的 HTML 标头（本地）的样子：

<head>
    <link href='reset.css' rel="stylesheet" type="text/css">
     <link href='style.css' rel="stylesheet" type="text/css">
    <link href='animate-custom.css' rel="stylesheet" type="text/css">
     <script type="text/javascript" src="jquery.min.js"></script>
     <script src="https://apis.google.com/js/client.js?onload=onClientLoad" type="text/javascript"></script> 
    <script src="main.js" type="text/javascript"></script>
    <script type="text/javascript" src="moment_langs.js"></script>

    <title>Dashboard</title>
</head>

这是加载时的样子（**脚本加载 - 猜测 api 调用？）：

<link href='reset.css' rel="stylesheet" type="text/css">
     <link href='style.css' rel="stylesheet" type="text/css">
    <link href='animate-custom.css' rel="stylesheet" type="text/css">
**<script src="https://apis.google.com/_/scs/apps-static/_/js/k=oz.gapi.en.lm_l25KfNhA.O/m=client/rt=j/sv=1/d=1/ed=1/am=AQ/rs=AItRSTM1DJ5OrFPvETO8O24EqSIF_JCoKQ/cb=gapi.loaded_0" async=""></script>**
     <script type="text/javascript" src="jquery.min.js"></script>
     <script src="https://apis.google.com/js/client.js?onload=handleClientLoad" type="text/javascript"></script> 
    <script src="main.js" type="text/javascript"></script>
    <script type="text/javascript" src="moment_langs.js"></script>

我的清单：

{
  "manifest_version": 2,
  "name": "My Dashboard",
  "version": "1.2",
  "content_security_policy": "script-src 'self' https://apis.google.com/; object-src 'self'",
  "permissions": [
    "webRequest",
    "*://*.googleapis.com/*",
    "*://*.apis.google.com/*"
  ],


    "chrome_url_overrides" : {
    "newtab": "index.html"
  }
}

根据有关的文档内容安全政策 http://developer.chrome.com/extensions/contentSecurityPolicy.html配置，更具体地说是政策反对eval() http://developer.chrome.com/extensions/contentSecurityPolicy.html#relaxing-eval:

反对的政策eval()和它的亲戚喜欢设置超时时间(String), 设置时间间隔(String), and 新功能(String)可以通过在您的策略中添加“unsafe-eval”来放松 [...]

然而，我们强烈建议反对做这个。这些功能臭名昭著XSS攻击向量。

（强调我的）

因此，将“unsafe-eval”添加到您的内容安全策略可能是一种解决方案（但在其他方面肯定不是一个好的解决方案）。

皮诺伊德的建议 https://stackoverflow.com/questions/19749601/chrome-manifest-with-google-api#comment-29353018使用普通的XMLHttp请求 https://developer.mozilla.org/en-US/docs/Web/API/XMLHttpRequest可以证明是更好的方法（如果有必要设置withcredentials归因于true).