如何在Chrome打包应用程序中设置script-src？

Question

我正试图从一个复杂的web应用程序中创建一个Chrome打包应用程序。我目前正在收到错误：

拒绝执行内联事件处理程序，因为它违反了以下内容安全策略指令："default-src 'self‘chrome扩展名-resource：“。请注意，“script-src”没有显式设置，因此“default-src”用作回退。

如何在manifest.json中显式设置策略？我试过这样的方法：

"content_security_policy": "default-src 'inline'; script-src 'inline'"

但我仍然收到同样的错误信息。我的语法是错的，还是错误是一条红鲱鱼？

Answer 1

您不能松开打包应用程序中的默认CSP。如果您正在执行类似于<button id="foo" onclick="doSomething()">的操作，那么您应该在HTML中包含一个单独的JS文件，其中在onload处理程序中执行一个document.querySelector("#foo").onclick = doSomething;。这将符合CSP，并使您的应用程序更抵抗XSS攻击。

Answer 2

我也面临着同样的问题，我在阅读本文件时发现了以下问题：

"sandbox": {
    "pages": ["sandboxed.html"]
}