Manifesto - Sandbox

Aviso:a partir da versão 57, o Chrome não permitirá mais conteúdo da Web externo (incluindo frames e scripts incorporados) dentro de páginas em sandbox. Em vez disso, use um WebView.

define um conjunto de páginas de apps ou extensões que serão veiculadas em uma origem exclusiva em sandbox; e, opcionalmente, uma Política de Segurança de Conteúdo para usar com eles. Ficar em uma sandbox tem duas implicações:

  1. Uma página no modo sandbox não terá acesso a APIs de extensão ou aplicativo nem acesso direto a páginas sem sandbox (pode se comunicar com elas via postMessage()).
  2. Uma página no modo sandbox não está sujeita à Política de Segurança de Conteúdo (CSP) usada pelo restante do o app ou a extensão (tem seu próprio valor de CSP separado). Isso significa que, por exemplo, usar script in-line e eval;

    Por exemplo, veja como especificar que duas páginas de extensão devem ser exibidas em uma sandbox com um CSP personalizado:

    {
      ...
      "sandbox": {
        "pages": [
          "page1.html",
          "directory/page2.html"
        ]
        // content_security_policy is optional.
        "content_security_policy":
            "sandbox allow-scripts; script-src 'self'"
      ],
      ...
    }
    

    Se não for especificado, o valor content_security_policy padrão será sandbox allow-scripts allow-forms allow-popups allow-modals; script-src 'self' 'unsafe-inline' 'unsafe-eval'; child-src 'self';. É possível especificar o valor da CSP para restringir ainda mais o sandbox, mas ele precisa ter a diretiva sandbox e pode não ter o token allow-same-origin. Consulte a diretiva HTML5 especificação para possíveis tokens de sandbox). Além disso, o CSP especificado pode não permitir o carregamento conteúdo da Web externo em páginas no sandbox.

Você só precisa listar as páginas que deveriam ser carregadas em janelas ou frames. Recursos usadas por páginas em sandbox (por exemplo, folhas de estilo ou arquivos JavaScript) não precisam aparecer na sandboxed_page, eles usarão o sandbox da página que os incorpora.

"Como usar a avaliação nas extensões do Chrome. com segurança". fluxo de trabalho de sandbox que permite o uso de bibliotecas que, de outra forma, teriam problemas na execução Política de Segurança de Conteúdo padrão da extensão.

A página no modo sandbox só pode ser especificada com o manifest_version 2 ou mais recente.