Manifesto - Sandbox

Aviso:a partir da versão 57, o Chrome não permitirá mais conteúdo da Web externo (incluindo frames e scripts incorporados) dentro de páginas em sandbox. Use uma webview.

Define uma coleção de páginas de apps ou extensões que serão veiculadas em uma origem única em sandbox e, opcionalmente, uma política de segurança de conteúdo para usar com elas. Ficar em uma sandbox tem duas implicações:

  1. Uma página no modo sandbox não terá acesso a APIs de extensão ou aplicativo nem acesso direto a páginas sem sandbox (pode se comunicar com elas via postMessage()).
  2. Uma página no modo sandbox não está sujeita à Política de Segurança de Conteúdo (CSP) usada pelo restante do o app ou a extensão (tem seu próprio valor de CSP separado). Isso significa que, por exemplo, usar script in-line e eval;

    Por exemplo, veja como especificar que duas páginas de extensão devem ser exibidas em uma sandbox com um CSP personalizado:

    {
      ...
      "sandbox": {
        "pages": [
          "page1.html",
          "directory/page2.html"
        ]
        // content_security_policy is optional.
        "content_security_policy":
            "sandbox allow-scripts; script-src 'self'"
      ],
      ...
    }
    

    Se não for especificado, o valor content_security_policy padrão será sandbox allow-scripts allow-forms allow-popups allow-modals; script-src 'self' 'unsafe-inline' 'unsafe-eval'; child-src 'self';. É possível especificar o valor da CSP para restringir ainda mais o sandbox, mas ele precisa ter a diretiva sandbox e pode não ter o token allow-same-origin. Consulte a diretiva HTML5 especificação para possíveis tokens de sandbox). Além disso, o CSP especificado pode não permitir o carregamento de conteúdo da Web externo em páginas em sandbox.

Você só precisa listar as páginas que espera que sejam carregadas em janelas ou frames. Os recursos usados por páginas em sandbox (por exemplo, folhas de estilo ou arquivos de origem JavaScript) não precisam aparecer na lista sandboxed_page. Eles vão usar o sandbox da página que os incorpora.

"Como usar a avaliação nas extensões do Chrome. com segurança". fluxo de trabalho de sandbox que permite o uso de bibliotecas que, de outra forma, teriam problemas na execução Política de Segurança de Conteúdo padrão da extensão.

A página isolada em sandbox só pode ser especificada ao usar manifest_version 2 ou mais recente.