提高扩展程序的安全性

提高清单 V3 中的安全性

这是介绍不属于扩展程序服务工作线程的代码所需更改的第三部分,也是最后一部分。其中介绍了提高扩展程序安全性所需的更改。另外两个部分介绍了升级到 Manifest V3 所需的更新代码替换屏蔽 Web 请求

移除了执行任意字符串的功能

您无法再使用 executeScript()eval()new Function() 执行外部逻辑

  • 将所有外部代码(JS、Wasm、CSS)移至您的扩展程序软件包中。
  • 更新了脚本和样式引用,以便从扩展程序软件包加载资源。
  • 使用 chrome.runtime.getURL() 在运行时构建资源网址。
  • 使用沙盒化 iframe:沙盒化 iframe 中仍支持 evalnew Function(...)。如需了解详情,请参阅沙盒化 iframe 指南

executeScript() 方法现在位于 scripting 命名空间中,而不是 tabs 命名空间中。如需了解如何更新通话,请参阅移动 executeScript()

在以下几种特殊情况下,仍然可以执行任意字符串:

移除远程托管的代码

在 Manifest V3 中,扩展程序的所有逻辑都必须包含在扩展程序软件包中。根据 Chrome 应用商店政策,您将无法再加载和执行远程托管的文件。例如:

  • 从开发者的服务器拉取的 JavaScript 文件。
  • 托管在 CDN 上的任何库。
  • 捆绑的第三方库,用于动态提取远程托管的代码。

您可以采用其他方法,具体取决于您的用例和远程托管的原因。本部分介绍了可考虑的方法。如果您在处理远程托管代码时遇到问题,可以参阅我们的指南

配置驱动型功能和逻辑

您的扩展程序会在运行时加载并缓存远程配置(例如 JSON 文件)。缓存的配置决定了启用了哪些功能。

使用远程服务的外部化逻辑

您的扩展程序调用远程 Web 服务。这样,您就可以将代码保持私密状态,并根据需要进行更改,同时避免重新提交到 Chrome 应用商店的额外开销。

在沙盒化 iframe 中嵌入远程托管的代码

沙盒化 iframe 支持远程托管的代码。请注意,如果代码需要访问嵌入页面的 DOM,此方法将不起作用。

捆绑第三方库

如果您使用的是之前从外部服务器加载的热门框架(例如 React 或 Bootstrap),则可以下载缩减后的文件,将其添加到项目中,然后将其导入本地。例如:

<script src="./react-dom.production.min.js"></script>
<link href="./bootstrap.min.css" rel="stylesheet">

如需在 Service Worker 中添加库,请在清单中将 "background.type"设置为 "module",并使用 import 语句。

在标签页注入的脚本中使用外部库

您还可以在运行时加载外部库,方法是在调用 scripting.executeScript() 时将其添加到 files 数组。您仍然可以在运行时远程加载数据。

chrome.scripting.executeScript({
  target
: {tabId: tab.id},
  files
: ['jquery-min.js', 'content-script.js']
});

注入函数

如果您需要更具动态性,可以使用 scripting.executeScript() 中的新 func 属性将函数作为内容脚本注入,并使用 args 属性传递变量。

Manifest V2
let name = 'World!';
chrome
.tabs.executeScript({
  code
: `alert('Hello, ${name}!')`
});

在后台脚本文件中。

Manifest V3
async function getCurrentTab() {/* ... */}
let tab
= await getCurrentTab();

function showAlert(givenName) {
  alert
(`Hello, ${givenName}`);
}

let name
= 'World';
chrome
.scripting.executeScript({
  target
: {tabId: tab.id},
  func
: showAlert,
  args
: [name],
});

在后台 Service Worker 中。

Chrome 扩展程序示例代码库包含一个函数注入示例,您可以逐步演示该示例。如需查看 getCurrentTab() 的示例,请参阅该函数的参考文档

寻找其他权宜解决方法

如果上述方法对您的用例没有帮助,您可能需要寻找替代解决方案(例如迁移到其他库),或者寻找其他方法来使用该库的功能。例如,在 Google Analytics 的情况下,您可以改用 Google Measurement Protocol,而不是使用Google Analytics 4 指南中所述的官方远程托管 JavaScript 版本。

更新内容安全政策

"content_security_policy" 尚未从 manifest.json 文件中移除,但现在是一个字典,支持两个属性:"extension_pages""sandbox"

Manifest V2
{
 
...
 
"content_security_policy": "default-src 'self'"
 
...
}
Manifest V3
{
 
...
 
"content_security_policy": {
   
"extension_pages": "default-src 'self'",
   
"sandbox": "..."
 
}
 
...
}

extension_pages:是指扩展程序中的上下文,包括 HTML 文件和服务工件。

sandbox:是指您的扩展程序使用的任何沙盒化扩展程序页面

移除不受支持的内容安全政策

Manifest V3 不允许在 "extension_pages" 字段中使用 Manifest V2 中允许的某些内容安全政策值。具体而言,Manifest V3 不允许使用允许远程代码执行的功能。script-src, object-srcworker-src 指令只能具有以下值:

  • self
  • none
  • wasm-unsafe-eval
  • 仅限未打包的扩展程序:任何 localhost 来源(http://localhosthttp://127.0.0.1 或这些网域上的任何端口)

sandbox 的内容安全政策值没有此类新限制。