Chrome Plugin静态页面触发CSP如何解决CSP

于 2024-06-03 09:43:04 发布
阅读量535 收藏 2
点赞数 7
分类专栏: 持续学习持续总结 文章标签: chrome 前端 javascript 音视频
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42429220/article/details/139403051
版权

CSP

内容安全策略 (Content Security Policy)
内容安全策略是一种计算机安全标准,旨在防御跨站脚本、点击劫持等代码注入攻击,阻止恶意内容在受信网页环境中执行。
Manifest V3 对于内容安全策略有一些默认的设置,如禁止外部代码的执行,这主要是为了增强安全性。如果需要调整默认策略以允许执行更多类型的资源,可以通过修改 manifest.json 中的 content_security_policy 字段实现。

常见错误:

'content_security_policy.extension_pages': Insecure CSP value "'blob:'" in directive 'script-src'.
Could not load manifest.

解决

此文解决的是 extension_pages 页面不是context 注入

方法1

声明引用文件:【web_accessible_resources -> resources】

	"web_accessible_resources": [
		{
			"resources": [
				"assets/*",
			],
			"matches": [
				"<all_urls>"
			]
		},
		{
			"matches": [
				"<all_urls>"
			],
			"resources": [
				"content.e2b1d2ad.css"
			]
		}
	],

如果是在context: 【content_scripts -> js】

	"content_scripts": [
		{
			"matches": [
				"<all_urls>"
			],
			"js": [
				"content.883ade9e.js"
			],
			"css": []
		}
	],

方法2

如果运行脚本中创建script脚本,需要修改 content_security_policy。如下:
【pages: 页面路径 】

	"content_security_policy": {
		"sandbox": "sandbox allow-scripts allow-modals allow-popups; script-src 'self' 'unsafe-inline' 'unsafe-eval' blob:; object-src 'self';worker-src 'self' blob: ;",
		"extension_pages": "script-src 'self' 'wasm-unsafe-eval'; object-src 'self'; media-src 'self' data: blob: *;"
	},
	"sandbox": {
		"pages": [
			"editor.html",
			"/tabs/download.html"
		]
	}
今天也想MK代码
关注
  • 7
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
csp-html-webpack-plugin:一个插件,与HTMLWebpackPlugin结合使用时,会将CSP标签添加到HTML输出中
02-06
npm i --save-dev csp-html-webpack-plugin 基本用法 在您的webpack配置中包括以下内容: const HtmlWebpackPlugin = require ( 'html-webpack-plugin' ) ; const CspHtmlWebpackPlugin = require ( 'csp-...
chrome浏览器开发解决csp问题
fanfan家园
01-19 3119
问题1: 解决: 将外部需要引入的js文件或者其他资源下载下来,放在chrome扩展中进行引入,问题方可解决。 例如: 问题2:解决javascript中内联写法的不支持(inline) 解决: 参考:developer.chrome.com/extensions/… 例如: ...
开启这些隐藏功能,让你的Chrome更加强大
we
05-19 634
Chrome DevTools 是 前端开发人员最常用的工具之一,今天就来看 5 个Chrome DevTools 实用的实验性功能,开启这些隐藏功能,让你的Chrome更加强大! 本文中使用的 Chrome 浏览器版本:99.0.4844.74(正式版本) (arm64) 1. CSS Overview 在 Chrome 的管理面板中,开启CSS Overview面板之后,就可以查看当前网站的样式信息了,包括颜色信息、字体信息、媒体查询等。当我们需要优化页面的 CSS 时,这个功能就派上用场..
Chrome Extension 中的 CSP(Content Security Policy) 开发小记
如果我年少有为不自卑
12-14 1万+
Chrome Extension CSP 开发小记标签(空格分隔): chrome-extension web开发 CSP在进行Chrome拓展程序开发的时候,我们经常会遇到需要加载第三方库的情况,常见的如Jquery/Bootstrap库等,然而Chrome Extension的开发与一般网页不同,当我们在页面中加入如下代码时<script src="https://code.jquery.com
Chrome扩展开发 内容安全策略Content Security Policy (CSP) 官方原文部分翻译.
热门推荐
mikeguo's blog
12-26 1万+
Content Security Policy (CSP) 内容安全策略 Inorder to mitigate a large class of potential cross-site scripting issues,Chrome's extension system has incorporated the general concept of Content SecurityPo
浏览器迁移引发的CSP(内容安全策略)问题排查
athjyh的博客
06-27 876
排错
chrome拓展 跨站_chrome 浏览器 扩展应用开发的 CSP 问题解决
weixin_39940770的博客
12-21 666
本文目录结构chrome 扩展应用开发的时候;项目中为了维护方便,使用了阿里的 iconfont;的彩色图标;如:加载外部的资源,chrome 会默认拒绝所加载的脚本;原因是,它违反了“script-src ‘self’ blob: filesystem: chrome-extension-resource:”.原因分析:chrome 扩展使用了下面这种扩展;"manifest_version":...
谷歌CSP工程化实践导读
LuckyWinty的博客
12-07 327
*本文作者:Wester,就职于腾讯安全平台部,从事研发安全相关工作,欢迎联系探讨(https://zhuanlan.zhihu.com/p/66652397)引子内容安全策略(Cont...
http content_security_policy
focus on security
08-24 446
扩展默认情况下对其应用了内容安全策略。默认策略限制了它们可以从中加载<script>和<object>资源的来源,并且禁止使用诸如之类的潜在不安全做法eval()。请参阅默认内容安全性策略以了解有关此含义的更多信息。 您可以使用"content_security_policy"清单密钥来放松或收紧默认策略。该密钥的指定方式与Content-Security-Policy HTTP标头相同。有关CSP语法的一般说明,请参见使用内容安全策略。 例如,您可以使用此键执行以下操作: ..
前端代码 安全配置 Content-Security-Policy(csp)
fred8的博客
01-13 5828
我们vue项目举例 1.找到修改的目标文件 2.添加Content-Security-Policy策略 <meta charset="utf-8" http-equiv="content-security-policy" content="script-src 'self' ; object-src 'none'; style-src 'self' ; "> 3.如果报错的处理 4.根据描述添加新的策略 <meta charset="utf-8" http-equi
chrome-plugin-tab:用于自定义新标签页的Chrome插件
05-18
chrome-plugin-tab 用于自定义新标签页的Chrome插件。 安装 通过chrome浏览器打开chrome://extensions/ 。 将NiceTab.crx拖到浏览器中,然后单击“是”进行安装。 如果您看到下面显示的图标,则表明安装成功。 ...
Ext4.2的Ext.grid.plugin.RowExpander无法触发事件解决办法
09-04
在Ext JS库中,`Ext.grid.plugin.RowExpander`是一个扩展插件,用于在网格行中添加可展开的详情区域。在Ext4.2版本中,用户可能遇到一个特定的问题,即`RowExpander`的`collapsebody`和`expandbody`事件无法正常触发...
gwt chrome plugin
05-05
标题 "gwt chrome plugin" 指的是一个与Google Web Toolkit (GWT) 和Chrome浏览器相关的插件。GWT是一个开放源代码的Java框架,它允许开发者使用Java语言来创建和部署富互联网应用程序(Rich Internet Applications...
5118Plugin_Chrome_v2.0.4.zip
09-03
《5118Plugin_Chrome_v2.0.4.zip:SEO优化与关键词监测的得力助手》 在数字化营销的今天,SEO(搜索引擎优化)已成为网站获取流量、提升在线可见性的重要策略。5118Plugin_Chrome_v2.0.4.zip是一款专为SEO从业者...
Web 安全之内容安全策略详解(Content-Security-Policy,CSP
乌龙茶不甜的博客
04-27 1万+
1.CSP 简介 内容安全策略(Content Security Policy,简称CSP)是一种以可信白名单作机制,来限制网站是否可以包含某些来源内容,缓解广泛的内容注入漏洞,比如 XSS。 简单来说,就是我们能够规定,我们的网站只接受我们指定的请求资源。默认配置下不允许执行内联代码(2.CSP 使用方式 CSP可以由两种方式指定: HTTP Header 和 HTML。 通过定义在HTTP header 中使用: "Content-Security-Policy:" 策略集 通过定义在 HTML me
Chrome浏览器扩展插件指南:从MV2迁移到Manifest V3
ljinkai_ljk的专栏
06-04 1万+
Chrome Web Store于2021年1月已经开始接受Manifest V3扩展的提交。如果你还在使用MV2版本,那么一定要在官方弃用之前,尽快更新到MV3版本。Chrome浏览器从88版本开始支持MV3啦(即Manifest Version 3),目前查看官方文档时默认已经是MV3版本。我们这篇文章主要了解3个问题1、MV2的弃用时间表2、了解MV3的新特性3、如...
CHROME扩展开发文档之·清单 V3 迁移清单
slongzhang的博客
12-29 1869
清单 V3 迁移清单发表于 2019 年 11 月 2 日星期六 •更新于2020 年 11 月 11 日,星期三目录API清单安全检查表此页面提供了一个快速参考,可帮助您确定可能需要对 Manifest V2 扩展进行的任何更改,以便它在 Manifest V3 (MV3) 下工作。有关这些更改性质的更多说明,请参阅MV3 迁移指南。# API清单您可能需要根据 API 表面的更改进行一些更改。本节列出了这些更改。您的清单中有主机权限吗?MV3中的主机权限是一个单独的元素;您没有在permissions或
Content Security Policy (CSP)内容安全策略
飞翔的熊blabla
08-05 1131
CSP简介 Content Security Policy(CSP),内容(网页)安全策略,为了缓解潜在的跨站脚本问题(XSS攻击),浏览器的扩展程序系统引入了内容安全策略(CSP)这个概念。 CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。 两种方法启用 CSP 一种是通过 HTTP 响应头信息的Content-Security-Policy字段。 一种是通过网页的标签。 <meta h
chrome-plugin.zip 插件
最新发布
01-08
Chrome-plugin.zip 是一种用于谷歌浏览器的插件(Chrome Plugin),它为用户提供了增强浏览器功能、改善用户体验的可能性。该插件以.zip 格式压缩,可能包含了插件所需要的所有文件和资源。 Chrome-plugin.zip 插件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

今天也想MK代码

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值