Advertencia: A partir de la versión 57, Chrome ya no permitirá contenido web externo (incluidos marcos y secuencias de comandos incorporados) dentro de páginas de zona de pruebas. En su lugar, usa WebView.
Define un conjunto de páginas de apps o extensiones que se entregarán en un origen único de zona de pruebas y, de forma opcional, una Política de seguridad del contenido para usar con ellas. Estar en una zona de pruebas tiene dos implicaciones:
- Una página en zona de pruebas no tendrá acceso a las APIs de la extensión o la app, ni acceso directo a las páginas que no están en zona de pruebas (puede comunicarse con ellas a través de
postMessage()). Una página en zona de pruebas no está sujeta a la política de seguridad del contenido (CSP) que usa el resto de la app o extensión (tiene su propio valor de CSP independiente). Esto significa que, por ejemplo, puede usar la secuencia de comandos intercalada y
eval.Por ejemplo, a continuación, se muestra cómo especificar que dos páginas de extensión se deben entregar en una zona de pruebas con una CSP personalizada:
{ ... "sandbox": { "pages": [ "page1.html", "directory/page2.html" ] // content_security_policy is optional. "content_security_policy": "sandbox allow-scripts; script-src 'self'" ], ... }Si no se especifica, el valor predeterminado de
content_security_policyessandbox allow-scripts allow-forms allow-popups allow-modals; script-src 'self' 'unsafe-inline' 'unsafe-eval'; child-src 'self';. Puedes especificar tu valor de CSP para restringir aún más la zona de pruebas, pero debe tener la directivasandboxy no puede tener el tokenallow-same-origin(consulta la especificación de HTML5 para conocer los posibles tokens de zona de pruebas). Además, es posible que el CSP que especifiques no permita cargar contenido web externo dentro de páginas de zona de pruebas.
Ten en cuenta que solo debes enumerar las páginas que esperas que se carguen en ventanas o marcos. Los recursos que usan las páginas en zona de pruebas (p.ej., hojas de estilo o archivos fuente de JavaScript) no necesitan aparecer en la lista sandboxed_page, ya que usarán la zona de pruebas de la página que los incorpora.
"Using eval in Chrome Extensions. de forma segura", se explica con más detalle cómo implementar un flujo de trabajo de zona de pruebas que permite el uso de bibliotecas que, de otro modo, tendrían problemas para ejecutarse en la política de seguridad del contenido predeterminada de la extensión.
La página en zona de pruebas solo se puede especificar cuando se usa manifest_version 2 o una versión posterior.