content_security_policy

Тип Строка
Обязателен Нет
Пример 
"content_security_policy": "default-src 'self'"

Политика защиты содержимого применяется к расширениям автоматически. Изначальная политика защиты содержимого ограничивает источники, из которых расширение может загружать <script> и <object> ресурсы, а так же препятствует потенциально опасным практикам, например использованию eval(). Смотрите изначальные правила защиты содержимого, чтобы узнать о конкретных последствиях применения изначальных правил.

Ключ "content_security_policy" в manifest.json используется для ослабления или ужесточения политики защиты содержимого. Значения для этого ключа устанавливаются в точно таком же виде, как и для Content-Security-Policy HTTP заголовка. Смотрите Использование политики содержимого для получения общего представления о синтаксисе для написания правил политики.

Примеры использования ключа могут включать в себя:

  • Разрешение на загрузку не запакованных в расширение скриптов и объектов, предоставляя их URL в script-src и object-src директивах.
  • Разрешение на выполнение встраиваемых скриптов, предоставляя hash скрипта в "script-src" директиве.
  • Разрешение на использование eval() и похожих функций, добавляя 'unsafe-eval' в script-src директиву.
  • Ограничение допускаемых источников загрузки для других видов контента, например картинок или файлов стилей, используя соответствующие директивы.

При написании правил по защите содержимого, вы имеете некоторые ограничения:

  • Правило должно включать в себя script-src и  object-src директивы, и script-src директива должна включать ключевое слово 'self'.
  • Удалённые источники должны иметь https: схему.
  • Удалённые источники не должны определяться через универсальный символ * со следующим за ним доменным публичным суффиксом (например "*.co.uk" и "*.blogspot.com" являются не разрешёнными значениями, но "*.foo.blogspot.com" разрешёно).
  • У всех источников должен быть определён хост.
  • Единственные позволенные схемы источников: blob:, filesystem:, moz-extension: и https:.
  • Единственные позволенные ключевые слова: 'none', 'self' и 'unsafe-eval'.

Примеры

Работающие примеры

Разрешает загрузку скриптов из "https://example.com": (смотрите примечание 1)

"content_security_policy": "script-src 'self' https://example.com; object-src 'self'"

Разрешает загрузку скриптов из любого субдомена "jquery.com":

"content_security_policy": "script-src 'self' https://*.jquery.com; object-src 'self'"

Разрешает использование eval() и его товарищей:

"content_security_policy": "script-src 'self' 'unsafe-eval'; object-src 'self';"

Разрешает встроить скрипт: "<script>alert('Hello, world.');</script>":

"content_security_policy": "script-src 'self' 'sha256-qznLcsROx4GACP2dm0UCKCzCG+HiZ1guq6ZZDob/Tng='; object-src 'self'"

Оставляет изначальные правила, но так же требует, чтобы могли загружаться только изображения, запакованные вместе с расширением:

"content_security_policy": "script-src 'self'; object-src 'self'; img-src 'self'"

Разрешает загрузку только тех ресурсов, которые были запакованы вместе с расширением:

"content_security_policy": "default-src 'self'"

Недопустимые примеры

Политика, не включающая "object-src" директиву:

"content_security_policy": "script-src 'self' https://*.jquery.com;"

Политика, не включающая ключевое слово "self" в "script-src" директиве:

"content_security_policy": "script-src https://*.jquery.com; object-src 'self'"

Использование отличной от https схемы для загрузки удалённых ресурсов:

"content_security_policy": "script-src 'self' http://code.jquery.com; object-src 'self'"

Использование универсального символа в связке с публичным доменным суффиксом:

"content_security_policy": "script-src 'self' https://*.blogspot.com; object-src 'self'"

Указание схемы без хоста:

"content_security_policy": "script-src 'self' https:; object-src 'self'"

Использование неподдерживаемого ключевого слова 'unsafe-inline':

"content_security_policy": "script-src 'self' 'unsafe-inline'; object-src 'self'"

1. Примечание: Работающие примеры демонстрируют правильное написание политики защиты содержимого. Тем не менее, расширения с политикой, включающей ключевые словами 'unsafe-eval', 'unsafe-inline', разрешающей загрузку удалённых скриптов и ресурсов, а так же blob файлов не будут допущены к распространению на addons.mozilla.org из-за значительных проблем с безопасностью.

Browser compatibility

Update compatibility data on GitHub
КомпьютерыМобильные
ChromeEdgeFirefoxOperaFirefox для Android
content_security_policyChrome Полная поддержка ДаEdge Полная поддержка 14
Замечания
Полная поддержка 14
Замечания
Замечания Only the default content security policy is supported: "script-src 'self'; object-src 'self';".
Firefox Полная поддержка 48
Замечания
Полная поддержка 48
Замечания
Замечания Firefox does not support 'http://127.0.0.1' or 'http://localhost' as script sources: they must be served over HTTPS.
Opera Полная поддержка ДаFirefox Android Полная поддержка 48
Замечания
Полная поддержка 48
Замечания
Замечания Firefox does not support 'http://127.0.0.1' or 'http://localhost' as script sources: they must be served over HTTPS.

Легенда

Полная поддержка  
Полная поддержка
Смотрите замечания реализации.
Смотрите замечания реализации.

Последнее изменение:

, by MDN contributors
Связанные темы
  1. Browser extensions
  2. Getting started
    1. What are extensions?
    2. Your first extension
    3. Your second extension
    4. Anatomy of an extension
    5. Example extensions
    6. What next?
  3. Concepts
    1. Using the JavaScript APIs
    2. Content scripts
    3. Match patterns
    4. Working with files
    5. Internationalization
    6. Security best practices
    7. Content Security Policy
    8. Native messaging
  4. User interface
    1. User Interface
    2. Accessibility guidelines
    3. Toolbar button
    4. Address bar button
    5. Sidebars
    6. Context menu items
    7. Options page
    8. Extension pages
    9. Notifications
    10. Address bar suggestions
    11. Developer tools panels
  5. How to
    1. Intercept HTTP requests
    2. Modify a web page
    3. Insert external content
    4. Add a button to the toolbar
    5. Implement a settings page
    6. Work with the Tabs API
    7. Work with the Bookmarks API
    8. Work with the Cookies API
    9. Work with contextual identities
    10. Build a cross-browser extension
    11. Onboard, upboard, and offboard users
  6. Porting
    1. Firefox differentiators
    2. Porting a Google Chrome extension
    3. Porting a legacy Firefox extension
    4. Comparison with the Add-on SDK
    5. Comparison with XUL/XPCOM extensions
    6. Differences between API implementations
    7. Chrome incompatibilities
    8. Differences between desktop and Android
  7. Firefox workflow
    1. Developer tools
    2. Choose a Firefox version
    3. User Experience
    4. Prompt users for data and privacy consents
    5. Temporary Installation in Firefox
    6. Debugging
    7. Testing persistent and restart features
    8. Test permission requests
    9. Developing for Firefox for Android
    10. Getting started with web-ext
    11. web-ext command reference
    12. Extensions and the Add-on ID
    13. Request the right permissions
    14. Best practices for updating your extension
  8. JavaScript APIs
    1. Browser support for JavaScript APIs
    2. cookies
    3. downloads
    4. tabs
    5. windows
    6. webRequest
  9. Manifest keys
    1. background
    2. content_security_policy
    3. description
    4. version
    5. ключ icons
    6. ключ manifest_version
    7. ключ name
  10. Distribution Options
  11. Themes
  12. Browser themes
    1. Browser theme concepts
    2. Using the AMO theme generator
  13. Publishing and Distribution
  14. Publishing add-ons
    1. Developer accounts
    2. Signing and distribution overview
    3. Package your extension
    4. Submit an add-on
    5. Source code submission
    6. Resources for publishers
    7. Creating an appealing listing
    8. Make money from browser extensions
    9. Promoting your extension or theme
    10. Add-on policies
    11. Developer agreement
    12. Featured add-ons
    13. Retiring your extension
  15. Distributing add-ons
    1. For sideloading
    2. For desktop apps
    3. For an enterprise
  16. Community and Support
  17. Channels
    1. Add-ons blog
    2. Add-on forums
    3. Stack Overflow
    4. Contact us