内容安全策略“unsafe-inline”是否已弃用？

Question

我正在开发一个Chrome扩展，我试着根据Google Docs添加'unsafe-inline‘CSP

然而，在这样做并尝试在chrome://extensions/上重新加载我的扩展之后，我得到了：

There were warnings when trying to install this extension: Ignored insecure CSP value "'unsafe-inline'" in directive 'script-src'.

对于参考manifest.json中定义的整个CSF：

"content_security_policy": "script-src 'self' 'unsafe-inline' https://localhost:8000; object-src 'self'"

那么，为什么我不能设置'unsafe-inline‘呢？

Answer 1

它并没有被弃用，它在网络上完全没问题。

然而，作为一种安全措施，它在扩展中是不被允许的(坦率地说，这是良好的实践强制执行)。

Documentation解释了使用CSP可以做什么和不能做什么。

在Chrome45之前，没有任何机制可以放松对执行内联JavaScript的限制。特别是，设置包含“unsafe-inline”的脚本策略将不起作用。

从Chrome 46开始，可以通过在策略中指定源代码的base64编码散列来将内联脚本列入白名单。此哈希必须以所使用的哈希算法(sha256、sha384或sha512)为前缀。有关示例，请参阅元素的哈希用法。

不要使用内联脚本-它不是必需的。同样的文档将展示如何处理它。