CSP和浏览器扩展

Question

根据维基百科的“浏览器添加-Ons和扩展豁免”一节：

CSP不应干扰用户安装的浏览器加载项或扩展的操作。

但不幸的是，它阻塞了外部脚本，由我的插件注入。

我总是可以将这些注入的代码放到内容脚本中。但我想知道是否还有其他方法来克服这个问题。

Answer 1

您确实应该将代码放入内容脚本中。如果将<script>标记插入到页面中，则它的工作方式与网页本身插入它的工作方式完全相同。浏览器无法知道此代码属于您的扩展名。更糟糕的是，这段代码不安全，不受网页的操纵--例如，网页可以重新定义window.alert()方法，而您的代码将无法显示消息。另一方面，扩展代码和内容脚本不受这些只看到原始DOM对象，没有任何JavaScript引发的更改。的影响。