jQuery.ajax()由于WebExtension中的CSP而被阻塞

Question

我正在开发一个Mozilla扩展，它需要在本地主机8080上与我的服务器进行通信。

jQuery.ajax({
        type: query_method,
        url: "http://localhost:8080/item",
        data: item,
        dataType: "jsonp",
        success: function(result) {
            return result.code;
        },
        error: function(request, status) {
            /*
             todo handle internal error
             */
            console.log(request);
            console.log(status);
        }
    });

感谢CSP，我不能将jQuery.ajax()用于GET/POST/DELETE/PUT。所有这些都会给我以下错误消息：

Content Security Policy: 
The page's settings blocked the loading of a resource at
http://localhost:8080/... 
("script-src moz-extension://a79d13c4-898a-482a-9bc9-d016e8dae8f5
https://* moz-extension: blob: filesystem: 'unsafe-eval' 'unsafe-inline'").

当然，我也尝试过一些所谓的解决方案，比如：

• "content_security_policy": "script-src 'self'; object-src 'self'; report-uri http://localhost:8080" ->没用
• "content_security_policy": "script-src 'self'; object-src 'self' http:" -> Error processing content_security_policy: SyntaxError: ‘object-src’ directive contains a forbidden http: protocol source

有人能给出一个真正的解决方案来发送HTTP请求并从Firefox扩展中接收数据吗？

为什么要使用jQuery.ajax()‘加载资源？如果是这样的话，我不能使用HTTP协议来执行任何请求。

Answer 1

问题不是XHR被CSP阻塞，而是使用jquery和jsonp。如果您使用允许他们进入舱单，jsonp可以执行跨源XHR，但是jsonp尝试将资源评估为<script>标记，而不是实际执行XHR。

在清单中允许本地主机，并使用标准化的APIs (如XHR或取() )。