扩展程序和小书签的内容安全策略

Github有以下内容内容安全政策 https://w3c.github.io/webappsec/specs/content-security-policy/:

内容安全策略：默认-src *；脚本-src asset-cdn.github.com www.google-analytics.com 收集器-cdn.github.com；对象-src 资产-cdn.github.com；样式-src '自我' '不安全内联' '不安全评估' asset-cdn.github.com; img 源文件 “自我”数据：assets-cdn.github.com identicons.github.com www.google-analytics.com Collector.githubapp.com *.githubusercontent.com *.gravatar.com *.wp.com;媒体-src“无”； frame-src 'self' render.githubusercontent.com www.youtube.com player.vimeo.com checkout.paypal.com；字体-src资产-cdn.github.com； connect-src 'self' ghconduit.com:25035 live.github.com uploads.github.com s3.amazonaws.com

我们可以使用 Evernote 或 Pocket 等服务的浏览器扩展从网络上剪辑/检索内容。

我在此 Github 政策中没有看到任何提及 Pocket 或 Evernote 的内容。有人可以解释一下为什么 Pocket 扩展能够从 Github 检索内容，而 Evernote 扩展却不能，有一个CSP错误 https://discussion.evernote.com/topic/64966-github-no-web-clipping/)

CSP 策略是否可以阻止加载小书签应用程序或浏览器扩展应用程序（例如 Clipper）？如果是这样，Pocket 如何才能使其扩展适用于任何内容？

我们的小书签/扩展程序中存在这个问题，我希望它们像 Pocket 扩展程序一样顺利工作，但我真的不知道从哪里开始......谢谢

Edit: 当人们在评论中询问代码时，我们的书签会加载以下 javascript：

javascript: (function() {
    function loadScript(a, b) {
        var c = document.createElement('script');
        c.type = 'text/javascript';
        c.src = a;
        var d = document.getElementsByTagName('head')[0],
            done = false;
        c.onload = c.onreadystatechange = function() {
            if (!done && (!this.readyState || this.readyState == 'loaded' || this.readyState == 'complete')) {
                done = true;
                b()
            }
        };
        d.appendChild(c)
    }
    loadScript('http://localhostsss.com:9000/assets/js/backbone/views/clipping/clippinglocal.js', function() {
        s.clipping.initClipping()
    })
})()

如果我尝试在具有 CSP 的中型页面中启动此小书签，则会收到以下错误。

拒绝加载脚本 'http://localhostssss.com:9000/assets/js/backbone/views/clipping/clippinglocal.js http://localhostssss.com:9000/assets/js/backbone/views/clipping/clippinglocal.js' 因为它违反了以下内容安全策略指令： “script-src 'unsafe-eval' 'unsafe-inline' 关于： https://.akamaihd.net http://.baidu.comhttps://bitly.com https://bitly.comhttps://.cloudfront.net https://.facebook.com https://.facebook.nethttps://getpocket.com https://getpocket.comhttps://.github.com https://.googleapis.comhttps://ssl.google-analytics.com https://ssl.google-analytics.com https://app.greenhouse.io https://app.greenhouse.iohttps://.medium.comhttps://myspace.com https://myspace.comhttps://.pinterest.comhttps://www.readability.com https://www.readability.com https://thinkery.me https://thinkery.me https://this.cm https://this.cmhttps://.twitter.comhttps://use.typekit.net https://use.typekit.nethttps://*.instapaper.com '自己'”。

有人可以告诉我如何使我们的书签可在具有 CSP 策略的 Medium 或 Github 等网站上加载。

我还不能过多谈论浏览器扩展，因为我还没有开发它，而且这个人也不在这里。我只知道我们有同样的问题，我们的浏览器扩展基本上与我们的书签相同的代码，只是它稍微适应了浏览器扩展外壳。如果您只能回答小书签的情况，我会同意并接受答案，但任何有关浏览器扩展的提示也很好:)

CSP 策略是否可以阻止加载小书签应用程序或浏览器扩展应用程序（例如 Clipper）？

非常简单：如果扩展程序或小书签违反了 CSP，它将被阻止。

因此，如果 CSP 阻止所有内联脚本，则任何小书签都不起作用。 Github 是这样做的media-src因为，通过简单地存在，“media-src”指令默认会阻止内联脚本。所以任何书签都不能在 Github 上运行。

（顺便说一句，即使所有浏览器都以这种方式工作，但这并不是标准所说应该发生的情况。Bookmarklet 实际上应该免除 CSP，但不幸的是没有浏览器愿意允许这样做。）

现在，至于哪些扩展可以工作或不能工作，这取决于扩展本身如何工作。 CSP 无法直接阻止扩展程序，但是，如果扩展程序尝试执行任何违反 CSP 的操作，则可能会失败。因此，在 Github 上，如果扩展尝试将本机脚本添加到页面的 DOM 中，或者尝试从未经批准的位置将外部脚本附加到页面的 DOM，或者执行 CSP 中描述的任何其他受限制的操作，则它可能会失败。

那么，Evernote 扩展的哪一部分导致了 CSP 错误，Pocket 如何在不导致错误的情况下完成类似的工作呢？我不知道。这一切都取决于这些应用程序的编写方式的具体细节。最有可能的是，查看他们的代码并尝试找出答案是非常简单的。据我所知，所有 Chrome 扩展程序都是用 JavaScript 编写的，并打包为 zip 文件 - 只是文件扩展名不同。我相信 Firefox 插件也是如此。