Chrome Extension - Content-Security-Policy - ausführen von inline-code

Bin ich mit einer externen JavaScript-lib, die in meinem chrome-Erweiterung.
Ich habe die inline-Ausführung, so bekomme ich folgende Fehlermeldung

(Den Fehler bekomme ich auf der Konsole)

Verweigerte die Ausführung von JavaScript-URL, da Sie gegen die folgende
Content Security Policy Richtlinie: "script-src 'self'
chrome-extension://". Entweder die 'unsafe-inline' - Schlüsselwort, wird ein hash
('sha256-...'), oder eine nonce ('nonce-...') ist erforderlich, damit die inline -
Ausführung.

Die Fehlermeldung klar sagt, es ist ein work-around möglich.

Chrom-Content-Security-Policy sagt, nicht möglich. Viele Verwandte Frage zitiert diesen link.

Blog Diese blogger sagt, es ist möglich, aber wahrscheinlich gilt das nur für ältere chrome-Erweiterung.

Jeder umgehen möglich?

PS: will nicht/kann es nicht ändern, die gesamte Bibliothek, die ich verwende.

BEARBEITEN: Verwendung von hash-oder nonce zu ermöglichen inline-Ausführung.

Ähnliche Fragen gestellt wurden, aber ich denke, etwas versäumt wurde.
bitte geben Sie uns den code erstellen Fehler

InformationsquelleAutor Amit G | 2014-09-02

17

~~Nein, das ist nicht möglich, sich zu entspannen dieser Politik.~~ unsafe-inline explizit ignoriert wird von Chrome-Erweiterungen da die manifest version 2.

Dokumentation (Hervorhebung von mir):

Gibt es keinen Mechanismus für eine Lockerung der Beschränkung gegen die Ausführung von inline-JavaScript. Insbesondere, die Einstellung der Skript-Richtlinie mit 'unsafe-inline' wird keine Auswirkungen haben.

Fehlermeldung erwähnt mehrere Möglichkeiten, aber die Dokumente sind so klar, dass keine CSP ermöglichen inline-scripting, und ignorieren unsafe-inline ist aber eine der Maßnahmen.

Update

Als der Chrome-46, inline-Skripte können in der Whitelist durch die Angabe der base64-kodierte hash-Wert der source-code in der Politik. Dieser hash muss vorangestellt werden, die durch die verwendeten hash-Algorithmus (sha256, sha384 oder sha512). Siehe Hash-Verwendung für Elemente für ein Beispiel.

Sehen diese Antwort für ein mehr in Tiefe Blick auf das whitelisting.
- +1; zu klären, für die OP: die CSP-Spezifikation erlaubt diese Einschränkung gelockert werden (daher der Vorschlag hinzufügen unsafe-eval), aber was die Chrome-Erweiterungen können in einem CSP ist schmaler als die Allgemeine CSP-spec.
- Stimmen zu 'unsafe-inline' haben keine Wirkung. Aber ich glaube, es gibt noch andere Möglichkeiten - hash/nonce, wie bereits von der Fehlermeldung.
- Wenn Sie darauf bestehen, Meinungsverschiedenheiten mit der Dokumentation, es ist Ihre Wahl.
- Diese Antwort gilt dann nicht mehr, siehe meine Antwort mit den aktualisierten Zustand hier.
- Vielen Dank für die aktualisierte Antwort auf diese, habe ich neue Informationen in meiner Antwort.
InformationsquelleAutor Xan
11

Kopiert aus meiner Antwort auf eine ähnliche Frage hier. Für den letzten Versionen von Chrome (46+) die aktuelle Antwort ist nicht mehr wahr. unsafe-inline hat immer noch keine Wirkung (in der manifest-und in meta header-tags), aber pro die Dokumentation, können Sie die Technik beschrieben hier zu entspannen Einschränkung.
Hash-Verwendung für <script> Elemente

Den script-src Richtlinie Entwickler die whitelist ein bestimmtes inline-Skript, indem Sie Ihre hash als zulässige Quelle Skript.

Nutzung ist unkompliziert. Der server berechnet den Hashwert eines bestimmten Skripts zu blockieren, den Inhalt, und enthält die base64-Kodierung, den Wert in der Content-Security-Policy header:
```
Content-Security-Policy: default-src 'self';
                     script-src 'self' https://example.com 'sha256-base64 encoded hash'
```
Als Beispiel:

manifestieren.json:
```
{
  "manifest_version": 2,
  "name": "csp test",
  "version": "1.0.0",
  "minimum_chrome_version": "46",
  "content_security_policy": "script-src 'self' 'sha256-WOdSzz11/3cpqOdrm89LBL2UPwEU9EhbDtMy2OciEhs='",
  "background": {
    "page": "background.html"
  }
}
```
background.html:
```
<!DOCTYPE html>
<html>
  <head></head>
  <body>
    <script>alert('foo');</script>
  </body>
</html>
```
Ergebnis:

Habe ich auch getestet Inbetriebnahme der geltenden Richtlinie in einem meta - tag anstelle des manifests. Während die CSP angegeben in der Konsole die Nachricht hat den Inhalt des Tags, es würde nicht ausgeführt inline-Skript (in Chrom 53).

neuen background.html:
```
<!DOCTYPE html>
<html>
  <head>
    <meta http-equiv="Content-Security-Policy" content="script-src 'self' 'sha256-WOdSzz11/3cpqOdrm89LBL2UPwEU9EhbDtMy2OciEhs='">
  </head>
  <body>
    <script>alert('foo');</script>
  </body>
</html>
```
Ergebnis:
- Was zum ausführen von inline-JS mit einem Anker, href wie <a href="javascript:void(0)">Hello</a>. Ich habe versucht rRMdkshZyJlCmDX27XnL7g3zXaxv7ei6Sg+yt4R3svU= und 97l24HYIWEdSIQ8PoMHzpxiGCZuyBDXtN19RPKFsOgk= mit kein Glück.
- die Lösung mit manifest.json für mich gearbeitet; die meta-tag-version nicht funktioniert.
InformationsquelleAutor Chris Hunt

Habe ich das problem, nachdem ich fügte hinzu, ein einfache checkbox auf der login-Seite zu wechseln Passwort Sichtbarkeit und hier ist, wie ich mein problem behoben, hoffe es hilft;

Ich habe aufgehört, meine checkbox onclick-Ereignis, das verursacht wurde
dieses problem in den Inkognito-Modus von chrome und stattdessen gab eine id zu
meine checkbox.

Vor

<div class="form__row">
        <div class="form__controls">
            <label class="checkbox"><input type="checkbox" onclick="togglePasswordVisibility()"> Show password</label>
        </div>
    </div>

Nach

<div class="form__row">
        <div class="form__controls">
            <label class="checkbox"><input type="checkbox" id="checkboxTogglePasswordVisibility"> Show password</label>
        </div>
    </div>

Habe ich einen Script.js Datei Hinzugefügt und ein Ereignis-listener-Methode ein, um zu
handle onclick event meiner Kontrollkästchen, um die Arbeit zu tun.

Erinnern, verweisen Sie Ihre js-Datei, wenn Sie noch nicht, noch nicht. Sie können einfach darauf verweisen, wie diese.

<script src="../Scripts/Script.js"></script>

Und hier ist der Ereignis-listener, die ich Hinzugefügt habe, in mein Script.js.

$(document).ready(function () {
    addEventListenerForCheckboxTogglePasswordVisibility()
});

function addEventListenerForCheckboxTogglePasswordVisibility() {
    var checkbox = document.getElementById("checkboxTogglePasswordVisibility");
    if (checkbox !== null) {
        checkbox.addEventListener('click', togglePasswordVisibility);
    }
}

function togglePasswordVisibility() {
    var passwordElement = document.getElementById("password");
    if (passwordElement.type === "password") {
        passwordElement.type = "text";
    } else {
        passwordElement.type = "password";
    }
}

Update

Hash-Verwendung für <script> Elemente

Hash-Verwendung für `<script>` Elemente