content_security_policy

Этот перевод не завершен. Пожалуйста, помогите перевести эту статью с английского

Тип Строка
Обязателен Нет
Пример 
"content_security_policy": "default-src 'self'"

Политика защиты содержимого применяется к расширениям автоматически. Изначальная политика защиты содержимого ограничивает источники, из которых расширение может загружать <script> и <object> ресурсы, а так же препятствует потенциально опасным практикам, например использованию eval(). Смотрите изначальные правила защиты содержимого, чтобы узнать о конкретных последствиях применения изначальных правил.

Ключ "content_security_policy" в manifest.json используется для ослабления или ужесточения политики защиты содержимого. Значения для этого ключа устанавливаются в точно таком же виде, как и для Content-Security-Policy HTTP заголовка. Смотрите Использование политики содержимого для получения общего представления о синтаксисе для написания правил политики.

Примеры использования ключа могут включать в себя:

  • Разрешение на загрузку не запакованных в расширение скриптов и объектов, предоставляя их URL в script-src и object-src директивах.
  • Разрешение на выполнение встраиваемых скриптов, предоставляя hash скрипта в "script-src" директиве.
  • Разрешение на использование eval() и похожих функций, добавляя 'unsafe-eval' в script-src директиву.
  • Ограничение допускаемых источников загрузки для других видов контента, например картинок или файлов стилей, используя соответствующие директивы.

При написании правил по защите содержимого, вы имеете некоторые ограничения:

  • Правило должно включать в себя script-src и  object-src директивы, и script-src директива должна включать ключевое слово 'self'.
  • Удалённые источники должны иметь https: схему.
  • Удалённые источники не должны определяться через универсальный символ * со следующим за ним доменным публичным суффиксом (например "*.co.uk" и "*.blogspot.com" являются не разрешёнными значениями, но "*.foo.blogspot.com" разрешёно).
  • У всех источников должен быть определён хост.
  • Единственные позволенные схемы источников: blob:, filesystem:, moz-extension: и https:.
  • Единственные позволенные ключевые слова: 'none', 'self' и 'unsafe-eval'.

Примеры

Работающие примеры

Разрешает загрузку скриптов из "https://example.com": (смотрите примечание 1)

"content_security_policy": "script-src 'self' https://example.com; object-src 'self'"

Разрешает загрузку скриптов из любого субдомена "jquery.com":

"content_security_policy": "script-src 'self' https://*.jquery.com; object-src 'self'"

Разрешает использование eval() и его товарищей:

"content_security_policy": "script-src 'self' 'unsafe-eval'; object-src 'self';"

Разрешает встроить скрипт: "<script>alert('Hello, world.');</script>":

"content_security_policy": "script-src 'self' 'sha256-qznLcsROx4GACP2dm0UCKCzCG+HiZ1guq6ZZDob/Tng='; object-src 'self'"

Оставляет изначальные правила, но так же требует, чтобы могли загружаться только изображения, запакованные вместе с расширением:

"content_security_policy": "script-src 'self'; object-src 'self'; img-src 'self'"

Разрешает загрузку только тех ресурсов, которые были запакованы вместе с расширением:

"content_security_policy": "default-src 'self'"

Недопустимые примеры

Политика, не включающая "object-src" директиву:

"content_security_policy": "script-src 'self' https://*.jquery.com;"

Политика, не включающая ключевое слово "self" в "script-src" директиве:

"content_security_policy": "script-src https://*.jquery.com; object-src 'self'"

Использование отличной от https схемы для загрузки удалённых ресурсов:

"content_security_policy": "script-src 'self' http://code.jquery.com; object-src 'self'"

Использование универсального символа в связке с публичным доменным суффиксом:

"content_security_policy": "script-src 'self' https://*.blogspot.com; object-src 'self'"

Указание схемы без хоста:

"content_security_policy": "script-src 'self' https:; object-src 'self'"

Использование неподдерживаемого ключевого слова 'unsafe-inline':

"content_security_policy": "script-src 'self' 'unsafe-inline'; object-src 'self'"

1. Примечание: Работающие примеры демонстрируют правильное написание политики защиты содержимого. Тем не менее, расширения с политикой, включающей ключевые словами 'unsafe-eval', 'unsafe-inline', разрешающей загрузку удалённых скриптов и ресурсов, а так же blob файлов не будут допущены к распространению на addons.mozilla.org из-за значительных проблем с безопасностью.

Browser compatibility

Update compatibility data on GitHub
КомпьютерыМобильные
ChromeEdgeFirefoxOperaFirefox для Android
content_security_policyChrome Полная поддержка ДаEdge Полная поддержка 14
Замечания
Полная поддержка 14
Замечания
Замечания Only the default content security policy is supported: "script-src 'self'; object-src 'self';".
Firefox Полная поддержка 48
Замечания
Полная поддержка 48
Замечания
Замечания Firefox does not support 'http://127.0.0.1' or 'http://localhost' as script sources: they must be served over HTTPS.
Opera Полная поддержка ДаFirefox Android Нет поддержки Нет
content_scriptsChrome Нет поддержки Нет
Замечания
Нет поддержки Нет
Замечания
Замечания See isolated_world.
Edge Нет поддержки Нет
Замечания
Нет поддержки Нет
Замечания
Замечания See isolated_world.
Firefox Полная поддержка 72
Отключено
Полная поддержка 72
Отключено
Отключено From version 72: this feature is behind the extensions.content_script_csp.enabled preference (needs to be set to true) and the extensions.content_script_csp.report_only preference (needs to be set to false). To change preferences in Firefox, visit about:config.
Opera Нет поддержки Нет
Замечания
Нет поддержки Нет
Замечания
Замечания See isolated_world.
Firefox Android Нет поддержки Нет
extension_pagesChrome Нет поддержки Нет
Замечания
Нет поддержки Нет
Замечания
Замечания Available in Canary builds.
Edge Нет поддержки НетFirefox Полная поддержка 72
Отключено
Полная поддержка 72
Отключено
Отключено From version 72: this feature is behind the extensions.content_script_csp.enabled preference (needs to be set to true) and the extensions.content_script_csp.report_only preference (needs to be set to false). To change preferences in Firefox, visit about:config.
Opera Нет поддержки НетFirefox Android Нет поддержки Нет
isolated_worldChrome Нет поддержки Нет
Замечания
Нет поддержки Нет
Замечания
Замечания Not yet implemented.
Edge Нет поддержки Нет
Замечания
Нет поддержки Нет
Замечания
Замечания Not yet implemented.
Firefox Нет поддержки Нет
Замечания
Нет поддержки Нет
Замечания
Замечания See content_scripts.
Opera Нет поддержки НетFirefox Android Нет поддержки Нет
Замечания
Нет поддержки Нет
Замечания
Замечания See content_scripts.
sandboxChrome Нет поддержки Нет
Замечания
Нет поддержки Нет
Замечания
Замечания Available in Canary builds.
Edge Нет поддержки НетFirefox Нет поддержки Нет
Замечания
Нет поддержки Нет
Замечания
Замечания Firefox does not support sandboxed scripts, so this key is not applicable.
Opera Нет поддержки НетFirefox Android Нет поддержки Нет
Замечания
Нет поддержки Нет
Замечания
Замечания Firefox does not support sandboxed scripts, so this key is not applicable.

Легенда

Полная поддержка  
Полная поддержка
Нет поддержки  
Нет поддержки
Смотрите замечания реализации.
Смотрите замечания реализации.
Пользователь должен сам включить эту возможность.
Пользователь должен сам включить эту возможность.
Связанные темы
  1. Browser extensions
  2. Getting started
    1. What are extensions?
    2. Your first extension
    3. Your second extension
    4. Anatomy of an extension
    5. Example extensions
    6. What next?
  3. Concepts
    1. Using the JavaScript APIs
    2. Content scripts
    3. Match patterns
    4. Working with files
    5. Internationalization
    6. Security best practices
    7. Content Security Policy
    8. Native messaging
  4. User interface
    1. User Interface
    2. Accessibility guidelines
    3. Toolbar button
    4. Address bar button
    5. Sidebars
    6. Context menu items
    7. Options page
    8. Extension pages
    9. Notifications
    10. Address bar suggestions
    11. Developer tools panels
  5. How to
    1. Intercept HTTP requests
    2. Modify a web page
    3. Insert external content
    4. Add a button to the toolbar
    5. Implement a settings page
    6. Work with the Tabs API
    7. Work with the Bookmarks API
    8. Work with the Cookies API
    9. Work with contextual identities
    10. Build a cross-browser extension
    11. Onboard, upboard, and offboard users
  6. Porting
    1. Firefox differentiators
    2. Porting a Google Chrome extension
    3. Porting a legacy Firefox extension
    4. Comparison with the Add-on SDK
    5. Comparison with XUL/XPCOM extensions
    6. Differences between API implementations
    7. Chrome incompatibilities
    8. Differences between desktop and Android
  7. Firefox workflow
    1. Developer tools
    2. Choose a Firefox version
    3. User Experience
    4. Prompt users for data and privacy consents
    5. Temporary Installation in Firefox
    6. Debugging
    7. Testing persistent and restart features
    8. Test permission requests
    9. Developing for Firefox for Android
    10. Getting started with web-ext
    11. web-ext command reference
    12. Extensions and the Add-on ID
    13. Request the right permissions
    14. Best practices for updating your extension
  8. JavaScript APIs
    1. Browser support for JavaScript APIs
    2. cookies
    3. downloads
    4. tabs
    5. windows
    6. webRequest
  9. Manifest keys
    1. background
    2. content_security_policy
    3. description
    4. permissions
    5. version
    6. ключ icons
    7. ключ manifest_version
    8. ключ name
  10. Distribution Options
  11. Themes
  12. Browser themes
    1. Browser theme concepts
    2. Using the AMO theme generator
  13. Publishing and Distribution
  14. Publishing add-ons
    1. Developer accounts
    2. Signing and distribution overview
    3. Package your extension
    4. Submit an add-on
    5. Source code submission
    6. Resources for publishers
    7. Creating an appealing listing
    8. Make money from browser extensions
    9. Promoting your extension or theme
    10. Add-on policies
    11. Developer agreement
    12. Featured add-ons
    13. Retiring your extension
  15. Distributing add-ons
    1. For sideloading
    2. For desktop apps
    3. For an enterprise
  16. Community and Support
  17. Channels
    1. Add-ons blog
    2. Add-on forums
    3. Stack Overflow
    4. Contact us