Melhorar a segurança das extensões

Melhorar a segurança no Manifesto V3

Esta é a última de três seções que descrevem as mudanças necessárias para o código que não faz parte do service worker da extensão. Ele descreve as mudanças necessárias para melhorar a segurança das extensões. As outras duas seções abordam a atualização do código necessária para fazer upgrade para o Manifesto V3 e a substituição de solicitações da Web de bloqueio.

Remover a execução de strings arbitrárias

Não é mais possível executar lógica externa usando executeScript(), eval() e new Function().

  • Mova todo o código externo (JS, Wasm, CSS) para o pacote da extensão.
  • Atualize as referências de script e estilo para carregar recursos do pacote de extensão.
  • Use chrome.runtime.getURL() para criar URLs de recursos durante a execução.
  • Use um iframe em sandbox: eval e new Function(...) ainda são compatíveis com iframes em sandbox. Para mais detalhes, leia o guia sobre iframes em sandbox.

O método executeScript() agora está no namespace scripting em vez do namespace tabs. Para informações sobre como atualizar chamadas, consulte Mover executeScript().

Há alguns casos especiais em que ainda é possível executar strings arbitrárias:

Remover código hospedado remotamente

No Manifesto V3, toda a lógica da extensão precisa fazer parte do pacote dela. Não é mais possível carregar e executar arquivos hospedados remotamente de acordo com a política da Chrome Web Store. Por exemplo:

  • Arquivos JavaScript extraídos do servidor do desenvolvedor.
  • Qualquer biblioteca hospedada em uma CDN.
  • Bibliotecas de terceiros agrupadas que buscam dinamicamente código hospedado remotamente.

Abordagens alternativas estão disponíveis, dependendo do seu caso de uso e do motivo da hospedagem remota. Esta seção descreve abordagens a serem consideradas. Se você estiver com problemas para lidar com código hospedado remotamente, confira nossas orientações.

Recursos e lógica orientados por configuração

Sua extensão carrega e armazena em cache uma configuração remota (por exemplo, um arquivo JSON) durante a execução. A configuração em cache determina quais recursos estão ativados.

Lógica externalizada com um serviço remoto

Sua extensão chama um serviço da Web remoto. Isso permite manter o código privado e mudá-lo conforme necessário, evitando o trabalho extra de reenviar para a Chrome Web Store.

Incorporar código hospedado remotamente em um iframe em sandbox

O código hospedado remotamente é compatível com iframes em sandbox. Essa abordagem não funciona se o código exigir acesso ao DOM da página de incorporação.

Agrupar bibliotecas de terceiros

Se você estiver usando um framework conhecido, como React ou Bootstrap, que antes era carregado de um servidor externo, baixe os arquivos minimizados, adicione-os ao projeto e importe-os localmente. Exemplo:

<script src="./react-dom.production.min.js"></script>
<link href="./bootstrap.min.css" rel="stylesheet">

Para incluir uma biblioteca em um service worker, defina a chave "background.type" como "module" no manifesto e use uma instrução import.

Usar bibliotecas externas em scripts injetados por guias

Você também pode carregar bibliotecas externas no momento da execução adicionando-as à matriz files ao chamar scripting.executeScript(). Você ainda pode carregar dados remotamente no ambiente de execução.

chrome.scripting.executeScript({
  target: {tabId: tab.id},
  files: ['jquery-min.js', 'content-script.js']
});

Injetar uma função

Se você precisar de mais dinamismo, a nova propriedade func em scripting.executeScript() permite injetar uma função como um script de conteúdo e transmitir variáveis usando a propriedade args.

Manifest V2
let name = 'World!';
chrome.tabs.executeScript({
  code: `alert('Hello, ${name}!')`
});

Em um arquivo de script em segundo plano.

Manifesto V3
async function getCurrentTab() {/* ... */}
let tab = await getCurrentTab();

function showAlert(givenName) {
  alert(`Hello, ${givenName}`);
}

let name = 'World';
chrome.scripting.executeScript({
  target: {tabId: tab.id},
  func: showAlert,
  args: [name],
});

No service worker em segundo plano.

O repositório de exemplos de extensões do Chrome contém um exemplo de injeção de função que você pode seguir. Um exemplo de getCurrentTab() está na referência dessa função.

Procure outras soluções alternativas

Se as abordagens anteriores não ajudarem no seu caso de uso, talvez seja necessário encontrar uma solução alternativa (ou seja, migrar para uma biblioteca diferente) ou outras maneiras de usar a funcionalidade da biblioteca. Por exemplo, no caso do Google Analytics, você pode mudar para o Measurement Protocol do Google em vez de usar a versão oficial do JavaScript hospedada remotamente, conforme descrito no nosso guia do Google Analytics 4.

Atualizar a Política de Segurança de Conteúdo

O "content_security_policy" não foi removido do arquivo manifest.json, mas agora é um dicionário que aceita duas propriedades: "extension_pages" e "sandbox".

Manifest V2
{
  ...
  "content_security_policy": "default-src 'self'"
  ...
}
Manifesto V3
{
  ...
  "content_security_policy": {
    "extension_pages": "default-src 'self'",
    "sandbox": "..."
  }
  ...
}

extension_pages: refere-se a contextos na sua extensão, incluindo arquivos HTML e service workers.

sandbox: refere-se a qualquer página de extensão no modo sandbox que sua extensão usa.

Remover políticas de segurança de conteúdo incompatíveis

O Manifesto V3 não permite alguns valores da política de segurança de conteúdo no campo "extension_pages" que eram permitidos no Manifesto V2. Especificamente, o Manifest V3 não permite aqueles que permitem a execução remota de código. As diretivas script-src,, object-src e worker-src só podem ter os seguintes valores:

  • self
  • none
  • wasm-unsafe-eval
  • Somente extensões descompactadas: qualquer origem de localhost (http://localhost, http://127.0.0.1 ou qualquer porta nesses domínios)

Os valores da política de segurança de conteúdo para sandbox não têm essas novas restrições.