경고: 버전 57부터 Chrome은 더 이상 샌드박스 처리된 페이지 내에서 외부 웹 콘텐츠 (삽입된 프레임 및 스크립트 포함)를 허용하지 않습니다. 대신 webview를 사용하세요.
샌드박스 처리된 고유한 출처에 제공할 앱 또는 확장 프로그램 페이지 모음 및 선택적으로 함께 사용할 콘텐츠 보안 정책을 정의합니다. 샌드박스에 있다는 것은 두 가지 의미가 있습니다.
- 샌드박스 처리된 페이지는 확장 프로그램 또는 앱 API에 액세스할 수 없거나 샌드박스 처리되지 않은 페이지에 직접 액세스할 수 없습니다 (
postMessage()를 통해 통신할 수 있음). 샌드박스 처리된 페이지에는 앱 또는 확장 프로그램의 나머지 부분에서 사용하는 콘텐츠 보안 정책(CSP)이 적용되지 않으며 별도의 자체 CSP 값이 있습니다. 예를 들어 인라인 스크립트와
eval를 사용할 수 있습니다.예를 들어 맞춤 CSP를 사용하여 샌드박스에 두 개의 확장 프로그램 페이지를 제공하도록 지정하는 방법은 다음과 같습니다.
{ ... "sandbox": { "pages": [ "page1.html", "directory/page2.html" ] // content_security_policy is optional. "content_security_policy": "sandbox allow-scripts; script-src 'self'" ], ... }지정되지 않은 경우 기본
content_security_policy값은sandbox allow-scripts allow-forms allow-popups allow-modals; script-src 'self' 'unsafe-inline' 'unsafe-eval'; child-src 'self';입니다. CSP 값을 지정하여 샌드박스를 더욱 제한할 수 있습니다. 하지만sandbox지시어가 있어야 하며allow-same-origin토큰이 없어야 합니다 (가능한 샌드박스 토큰은 HTML5 사양 참고). 또한 지정한 CSP에서 샌드박스 처리된 페이지 내에서 외부 웹 콘텐츠를 로드하는 것을 허용하지 않을 수도 있습니다.
창 또는 프레임에 로드될 것으로 예상한 페이지만 나열하면 됩니다. 샌드박스 처리된 페이지에서 사용하는 리소스 (예: 스타일시트 또는 자바스크립트 소스 파일)는 sandboxed_page 목록에 표시할 필요가 없습니다. 이러한 리소스는 이를 삽입하는 페이지의 샌드박스를 사용합니다.
'Chrome 확장 프로그램에서 eval 사용. Safely."에서는 확장 프로그램의 기본 콘텐츠 보안 정책에 따라 실행하는 데 문제가 발생했던 라이브러리를 사용할 수 있는 샌드박스 워크플로를 구현하는 방법을 자세히 설명합니다.
샌드박스 페이지는 manifest_version 2 이상을 사용할 때만 지정할 수 있습니다.