清单 - 沙盒

警告:从版本 57 开始,Chrome 将不再允许在沙盒化网页中使用外部 Web 内容(包括嵌入式框架和脚本)。请改用 WebView

定义要在沙盒化的唯一源中提供的一组应用或扩展程序页面,并定义要与它们搭配使用的内容安全政策(可选)。处于沙盒中有两个影响:

  1. 沙盒化网页无法访问扩展程序或应用 API,也无法直接访问非沙盒化网页(但可以通过 postMessage() 与它们通信)。
  2. 沙盒化页面不受应用或扩展程序其余部分使用的内容安全政策 (CSP) 的约束(它有自己的单独 CSP 值)。这意味着,例如,它可以使用内嵌脚本和 eval

    例如,下面展示了如何指定要在包含自定义 CSP 的沙盒中提供两个扩展程序网页:

    {
      ...
      "sandbox": {
        "pages": [
          "page1.html",
          "directory/page2.html"
        ]
        // content_security_policy is optional.
        "content_security_policy":
            "sandbox allow-scripts; script-src 'self'"
      ],
      ...
    }
    

    如果未指定,默认 content_security_policy 值为 sandbox allow-scripts allow-forms allow-popups allow-modals; script-src 'self' 'unsafe-inline' 'unsafe-eval'; child-src 'self';。您可以指定 CSP 值以进一步限制沙盒,但它必须具有 sandbox 指令,并且不得包含 allow-same-origin 令牌(如需了解可能的沙盒令牌,请参阅 HTML5 规范)。此外,您指定的 CSP 可能不允许在沙盒化网页中加载外部 Web 内容。

请注意,您只需列出预期在窗口或框架中加载的网页。沙盒化网页使用的资源(例如样式表或 JavaScript 源文件)无需显示在 sandboxed_page 列表中,它们将使用嵌入它们的网页的沙盒。

“在 Chrome 扩展程序中使用 eval。安全地使用扩展程序中的库。”,详细介绍了如何实现沙盒化工作流,以便使用在扩展程序的默认内容安全政策下执行时会出现问题的库。

只有在使用 manifest_version 2 或更高版本时,才能指定沙盒化页面。