提高清单 V3 中的安全性
这是介绍不属于扩展程序服务工作线程的代码所需更改的第三部分,也是最后一部分。其中介绍了提高扩展程序安全性所需的更改。另外两个部分介绍了升级到 Manifest V3 所需的更新代码和替换屏蔽 Web 请求。
移除了执行任意字符串的功能
您无法再使用 executeScript()
、eval()
和 new Function()
执行外部逻辑。
- 将所有外部代码(JS、Wasm、CSS)移至您的扩展程序软件包中。
- 更新了脚本和样式引用,以便从扩展程序软件包加载资源。
- 使用
chrome.runtime.getURL()
在运行时构建资源网址。 - 使用沙盒化 iframe:沙盒化 iframe 中仍支持
eval
和new Function(...)
。如需了解详情,请参阅沙盒化 iframe 指南。
executeScript()
方法现在位于 scripting
命名空间中,而不是 tabs
命名空间中。如需了解如何更新通话,请参阅移动 executeScript()
。
在以下几种特殊情况下,仍然可以执行任意字符串:
- 使用 insertCSS 将远程托管的样式表注入网页
- 对于使用
chrome.devtools
的扩展程序:inspectWindow.eval 允许在被检查网页的上下文中执行 JavaScript。 - 调试程序扩展程序可以使用 chrome.debugger.sendCommand 在调试目标中执行 JavaScript。
移除远程托管的代码
在 Manifest V3 中,扩展程序的所有逻辑都必须包含在扩展程序软件包中。根据 Chrome 应用商店政策,您将无法再加载和执行远程托管的文件。例如:
- 从开发者的服务器拉取的 JavaScript 文件。
- 托管在 CDN 上的任何库。
- 捆绑的第三方库,用于动态提取远程托管的代码。
您可以采用其他方法,具体取决于您的用例和远程托管的原因。本部分介绍了可考虑的方法。如果您在处理远程托管代码时遇到问题,可以参阅我们的指南。
配置驱动型功能和逻辑
您的扩展程序会在运行时加载并缓存远程配置(例如 JSON 文件)。缓存的配置决定了启用了哪些功能。
使用远程服务的外部化逻辑
您的扩展程序调用远程 Web 服务。这样,您就可以将代码保持私密状态,并根据需要进行更改,同时避免重新提交到 Chrome 应用商店的额外开销。
在沙盒化 iframe 中嵌入远程托管的代码
沙盒化 iframe 支持远程托管的代码。请注意,如果代码需要访问嵌入页面的 DOM,此方法将不起作用。
捆绑第三方库
如果您使用的是之前从外部服务器加载的热门框架(例如 React 或 Bootstrap),则可以下载缩减后的文件,将其添加到项目中,然后将其导入本地。例如:
<script src="./react-dom.production.min.js"></script>
<link href="./bootstrap.min.css" rel="stylesheet">
如需在 Service Worker 中添加库,请在清单中将 "background.type"
键设置为 "module"
,并使用 import
语句。
在标签页注入的脚本中使用外部库
您还可以在运行时加载外部库,方法是在调用 scripting.executeScript()
时将其添加到 files
数组。您仍然可以在运行时远程加载数据。
chrome.scripting.executeScript({
target: {tabId: tab.id},
files: ['jquery-min.js', 'content-script.js']
});
注入函数
如果您需要更具动态性,可以使用 scripting.executeScript()
中的新 func
属性将函数作为内容脚本注入,并使用 args
属性传递变量。
let name = 'World!';
chrome.tabs.executeScript({
code: `alert('Hello, ${name}!')`
});
async function getCurrentTab() {/* ... */}
let tab = await getCurrentTab();
function showAlert(givenName) {
alert(`Hello, ${givenName}`);
}
let name = 'World';
chrome.scripting.executeScript({
target: {tabId: tab.id},
func: showAlert,
args: [name],
});
Chrome 扩展程序示例代码库包含一个函数注入示例,您可以逐步演示该示例。如需查看 getCurrentTab()
的示例,请参阅该函数的参考文档。
寻找其他权宜解决方法
如果上述方法对您的用例没有帮助,您可能需要寻找替代解决方案(例如迁移到其他库),或者寻找其他方法来使用该库的功能。例如,在 Google Analytics 的情况下,您可以改用 Google Measurement Protocol,而不是使用Google Analytics 4 指南中所述的官方远程托管 JavaScript 版本。
更新内容安全政策
"content_security_policy"
尚未从 manifest.json
文件中移除,但现在是一个字典,支持两个属性:"extension_pages"
和 "sandbox"
。
{
...
"content_security_policy": "default-src 'self'"
...
}
{
...
"content_security_policy": {
"extension_pages": "default-src 'self'",
"sandbox": "..."
}
...
}
extension_pages
:是指扩展程序中的上下文,包括 HTML 文件和服务工件。
sandbox
:是指您的扩展程序使用的任何沙盒化扩展程序页面。
移除不受支持的内容安全政策
Manifest V3 不允许在 "extension_pages"
字段中使用 Manifest V2 中允许的某些内容安全政策值。具体而言,Manifest V3 不允许使用允许远程代码执行的功能。script-src,
object-src
和 worker-src
指令只能具有以下值:
self
none
wasm-unsafe-eval
- 仅限未打包的扩展程序:任何 localhost 来源(
http://localhost
、http://127.0.0.1
或这些网域上的任何端口)
sandbox
的内容安全政策值没有此类新限制。