开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

Chrome扩展清单v3内容安全策略

是一种用于保护Chrome浏览器扩展的安全机制。它基于清单文件（manifest）中的内容安全策略指令，旨在防止恶意代码的注入和执行，确保用户安全浏览网页。

内容安全策略可以通过manifest文件中的"content_security_policy"字段进行配置。该字段定义了一系列指令，用于限制扩展运行时可以加载和执行的资源类型和来源。以下是常用的指令及其作用：

"script-src": 限制扩展可以加载和执行的JavaScript脚本的来源。可以指定特定的域名或使用通配符。
"style-src": 限制扩展可以加载和应用的CSS样式表的来源。同样可以指定特定域名或使用通配符。
"img-src": 限制扩展可以加载和显示的图像资源的来源。
"connect-src": 限制扩展可以发起网络连接的服务器来源，包括XHR（XMLHttpRequest）请求、WebSocket连接等。
"frame-src": 限制扩展可以加载和显示的iframe或frame的来源。
"media-src": 限制扩展可以加载和播放的音视频资源的来源。

除了以上指令外，还可以使用其他指令如"object-src"、"font-src"等来限制其他类型的资源。

内容安全策略的优势在于增强了扩展的安全性，可以有效防止恶意代码的注入和执行，提升用户对扩展的信任度。通过合理配置策略，可以减少扩展受到XSS（跨站脚本攻击）、CSRF（跨站请求伪造）等安全漏洞的风险。

适用场景包括但不限于以下情况：

保护用户隐私：通过限制扩展的资源来源，防止恶意扩展获取用户敏感信息。
防止恶意注入：限制扩展可以加载的资源，避免恶意代码的注入和执行。
防止XSS攻击：通过配置安全策略，减少扩展受到XSS攻击的潜在风险。

腾讯云提供了适用于Chrome扩展的云安全服务，包括Web应用防火墙（WAF）和内容分发网络（CDN），可以进一步提升扩展的安全性和性能。您可以访问腾讯云官网了解更多信息：https://cloud.tencent.com/product/waf 和 https://cloud.tencent.com/product/cdn

相关搜索:chrome内容安全策略react扩展清单出现问题在chrome扩展中集成GA，清单v3 如何修复内容安全策略错误？(Chrome扩展)Chrome扩展清单V3 -在不同的内容脚本之间共享常规功能 Chrome扩展从内容安全策略获取回调 Chrome扩展安装“无效清单”CORS Chrome扩展与清单版本3 如何在chrome扩展v3中加载内容脚本迁移Chrome扩展v3通知 Chrome扩展“拒绝加载脚本，因为它违反了以下内容安全策略指令”Chrome扩展程序图片资源未显示(清单版本2)Firebase Chrome扩展Javascript content_security_policy清单3 我应该如何在Chrome扩展(清单V3)中的私有和非私有窗口之间进行通信？Chrome扩展内容脚本-匹配模式选择 Chrome扩展程序内容脚本和iframe chrome扩展内容安全Policy1 Chrome扩展-读取web请求正文内容如何访问Chrome扩展清单版本3 (MV3)扩展中的所有文件？Chrome扩展:在内容脚本中访问localStorage Chrome扩展JavaScript -从外部网站抓取内容

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

浏览器架构的温故知新

【引子】前端可能是一个日新月异的领域，我们很难了解其中的方方面面。但是，前端系统一般都以浏览器作为运行环境，对浏览器的进一步理解有助于我们更好地开发前端应用。这也是本文的由来之一，也作为对runtime的一次实例分析。

01

浏览器插件开发-manifest文件解读「建议收藏」

"content_security_policy": "script-src 'self' https://*.xxx.com; object-src 'self'"

02

Chrome 拓展开发系列：什么是 Chrome 拓展？

👋 你好，我是 Lorin 洛林，一位 Java 后端技术开发者！座右铭：Technology has the power to make the world a better place.

04

Firefox内容安全策略中的“Strict-Dynamic”限制

在本文中，我们将重点分析如何绕过Firefox内容安全策略中的“Strict-Dynamic”限制。该漏洞详情请参考： https://www.mozilla.org/en-US/security/advisories/mfsa2018-11/#CVE-2018-5175 。该漏洞将绕过内容安全策略（CSP）的保护机制，而在该机制中包含一个“严格动态限制”的Script-src策略。如果目标网站中存在HTTP注入漏洞，攻击者可以将一个引用注入到require.js库的一个副本中，这个库位于Firefox开发人员工具之中，攻击者随后便可以使用已知技术，利用该库绕过CSP限制，从而执行注入脚本。

05

从油猴脚本管理器的角度审视Chrome扩展

在之前一段时间，我需要借助Chrome扩展来完成一个需求，当时还在使用油猴脚本与浏览器扩展之间调研了一波，而此时恰好我又有一些做的还可以的油猴脚本 TKScript (点个star吧 😁)，相对会比较熟悉脚本管理器的能力，预估是不太能完成需求的，所以趁着这个机会，我又学习了一波浏览器扩展的能力。那么在后来需求的开发过程中，因为有些能力是类似于脚本管理器提供的基础环境，致使我越来越好奇脚本管理器是怎么实现的，而实际上脚本管理器实际上还是一个浏览器扩展，浏览器也并没有给脚本管理器开后门来实现相关能力，而让我疑惑的三个问题是:

01

基于Chrome扩展的浏览器可信事件与网页离线PDF导出

Chrome扩展是一种可以在浏览器中添加新功能和修改浏览器行为的软件程序，我们可以基于Manifest规范的API实现对于浏览器和Web页面在一定程度上的修改，例如广告拦截、代理控制等。Chrome DevTools Protocol则是Chrome浏览器提供的一套与浏览器进行交互的API，我们可以基于DevTools协议控制Chromium内核的浏览器进行各种操作，例如操作页面元素、模拟用户交互等。

01

chrome插件 manifest 2 to 3

影响到我们的API（主要是contentScript与background通讯的部分）：

01

云可靠性需要运行时安全和零信任

在当今环境中，运行时安全至关重要，它通过实时检查来实现安全，而不是将其视为一次性流程。

01

干货 | 盘点 Chrome 插件开发中那些关键的点！

最近在开发者模式下调试 Chrome 插件，发现安装扩展后默认会报错误，提示 v2 版本已经废弃，相关 API 功能将在明年不可使用，建议升级到 v3 版本

02

攻击者现可绕过MicrosoftEdge、Google Chrome和Safari的内容安全策略

就在前两天，Talos发布了Microsoft Edge浏览器的安全漏洞细节，受此漏洞影响的还包括旧版本Google Chrome（CVE-2017-5033）以及基于Webkit的浏览器（例如苹果的

08

绕过Edge、Chrome和Safari的内容安全策略

概述 ---- Web应用中有许多基本的安全机制，其中一个是同源（same-origin）策略机制，该机制规定了应用程序代码可以访问的资源范围。同源策略的基本思想是，源自于某台服务器上的代码只能访问同一台服务器上的web资源。比如，在Web浏览器上下文中执行的某个脚本，如果其来源服务器为good.example.com，那么它就可以访问同一台服务器上的数据资源。另一方面，根据同源策略的思想，来自evil.example.com的另一个脚本不能访问good.example.com上的任何数据。

07

绕过 CSP 从而产生 UXSS 漏洞

当通过 tarnish 扫描大量 Chrome 扩展程序时，我发现了两款流行的 Chrome 扩展程序 Video Downloader for Chrome version 5.0.012 (820万用户) 和 Video Downloader Plus(730 万用户) 在浏览器的操作页中存在 XSS 漏洞，而利用这些扩展程序只要让受害者导航到攻击者控制的页面。

02

Manifest V3扩展Content Script绕过CSP限制点击页面内元素

在Manifest V3中，谷歌对CSP策略的限制变得更加严格。例如，不允许使用unsafe-inline指令，这避免扩展执行远程代码，然而，这也意味着注入到页面中隔离环境的Content Scripts受到了扩展CSP策略的约束。因此，当页面中的链接包含内联的事件处理器/javascript:伪协议时，如果尝试在Content Scripts中点击链接，将发生错误，如下图所示：

01

chrome浏览器扩展v3版本配置项整理备忘

2、除了在插件内部contenscript background 和 popup之间传递消息以外，其他网站也可以给插件发送消息。方法如下首先，需要增加配置 externally_connectable:{matches:[“https://*.xxx.com/”]}指定允许哪些网站可以给当前插件发送消息，相当于白名单，只有在白名单中的站点发送的消息，扩展才会监听

04

从零实现的Chrome扩展

Chrome扩展是一种可以在Chrome浏览器中添加新功能和修改浏览器行为的软件程序，例如我们常用的TamperMonkey、Proxy SwitchyOmega、AdGuard等等，这些拓展都是可以通过WebExtensions API来修改、增强浏览器的能力，用来提供一些浏览器本体没有的功能，从而实现一些有趣的事情。

02

软件交付与协作 —— ITIL V3

基于服务生命周期的 ITIL V3 整合了 V1 和 V2 的精华，并与时俱进地融入了 IT 服务管理领域当前的最佳实践。5 本生命周期图书形成了 ITIL V3 的核心，它主要强调 ITIL 最佳实践的执行支持，以及在改善过程中需要注意的细节。

03

软件交付与协作 —— ITIL V3

基于服务生命周期的 ITIL V3 整合了 V1 和 V2 的精华，并与时俱进地融入了 IT 服务管理领域当前的最佳实践。5 本生命周期图书形成了 ITIL V3 的核心，它主要强调 ITIL 最佳实践的执行支持，以及在改善过程中需要注意的细节。

03

java启动器_JAVA基础：Java 启动器如何查找类

Java 启动器 java 将初始化 Java 虚拟机。虚拟机随即按以下顺序搜索和加载类：

04

体验谷歌 AdSense 的广告拦截收入挽回

在【我为什么不再投放谷歌 AdSense 广告了？】一文里，明月已经宣称不再投放谷歌 AdSense 了，但在明月的另一个网站【玉满斋】里还一直有投放谷歌 AdSense 广告的，并不是冲着收入去的，而是纯粹的学习和测试体验的。今天就来给大家分享一下体验谷歌 AdSense 的广告拦截收入挽回。

02

YApi的跨域插件cross-request不能用了，解决方案看这里

Manifest version 2 is deprecated, and support will be removed in 2023. See https://developer.chrome.com/blog/mv2-transition/ for more details.

06

react-devtools插件安装解决方案

react-devtools是一个浏览器的插件，是用来调试查看react组件代码的，怎么使用？下面我们来看一下。

01

用 Vue 开发自己的 Chrome 扩展

浏览器扩展程序是可以修改和增强 Web 浏览器功能的小程序。它们可用于各种任务，例如阻止广告，管理密码，组织标签，改变网页的外观和行为等等。

03

企业安全策略越大越好？Facebook CEO扎克伯格给了几点建议

谈到企业安全，大多数管理者都认为一定越大越好——预算更多、范围更广、回报更大。然而，Facebook首席执行官马克·扎克伯格在最近召开的F8会议上提及Facebook网站在规避更大问题时采取了“小型”的安全策略。企业能够从这种比例缩小的安全思考中获益吗？ Facebook内部经常组织“钓鱼” 《财富》杂志指出，扎克伯格已经采取了硅谷咒语“快速前进，打破陈规”的微调模式，而Facebook的版本是：“快速前进，稳固根基”。那么，Facebook是如何做到想小赢大的？首先，它发起了诸如Hacktober

07

Tarnish：一款针对Chrome扩展的静态安全分析平台

今天给大家介绍的是一个名叫Tarnish的工具，Tarnish是一个Chrome扩展静态分析工具，可帮助研究人员对Chrome扩展的安全情况进行审计。

01

cross-request 插件下载安装教程

cross-request 赋予一个 html 页面跨域请求能力，该扩展仅支持 YApi 接口管理平台

07

云原生 | k8s网络之calico组件多方式快速部署及使用calicoctl管理维护网络

官网地址: https://www.tigera.io/project-calico/

05

Isito 入门（九）：安全认证

本章的内容主要是讲解服务间通讯的安全和集群外部访问内部服务的 jwt token 验证。

02

2016年你应该学习的语言和框架

2015年，软件开发界发生了很多变化。有很多流行的新语言发布了，也有很多重要的框架和工具发布了新版本。下面有一个我们觉得最重要的简短清单，同时也有我们觉得值得你在2016年花时间精力去学习的新事物的一些建议。大趋势在过去的几年里，有一个越来越明显的趋势是web应用的商业逻辑逐步从后端转移到了前端，然后后端变得只需要处理简单的数据API。这就让前端开发框架的选择变得尤为重要了。另外一个重要的改变是2015年发布的 Edge 浏览器。这是IE的替代品，拥有全新的界面和更好的性能。跟IE不一样的是它同样

微信支付代金券开发包分享

距离上次发原创分享应该有 12 天了，最近忙里忙外的，无论是 Spring Security OAuth2 相关的，还是微信支付相关的都留了很多坑没有来得及去补，所以十分抱歉。今天得空赶紧分享一些有用的东西。今天就分享一下关于微信支付代金券的一些开发知识。

02

浏览器扩展程序安装指南在哪_360浏览器扩展在哪里

按规矩讲扩展程序应该在浏览器的应用商店里下载，但是考虑到身在墙国访问谷歌的应用商店可能不太方便，所以这里采用离线加载的方式提供给大家。

01

2020前端性能优化清单（六）

通过在服务器上启用 OCSP stapling[2]，可以加快 TLS 握手的速度。联机证书状态协议（OCSP）被创建为证书吊销列表（CRL）协议的替代品。两种协议都用于检查 SSL 证书是否已被吊销。但是，OCSP 协议不需要浏览器花时间下载和搜索证书信息列表，因此减少了握手所需的时间。

02

如何实现一个谷歌浏览器插件

直接将脚本注入到页面中，但是也可以包含CSS文件，但是在注入CSS文件时，要小心，否则会覆盖网页原本的样式。content-scripts中的JS程序和原始页面共享DOM，但是和原始页面的JS不是在同一个环境下运行的，所以我们是无法访问到原始页面中定义的变量的因为是是注入到页面中的，所以在安全策略上不能访问大部分的API，除了下面的四种：

03

全网最详细的谷歌插件开发小册📚

可能是全网最详细的谷歌插件开发小册👏🏻，之前写谷歌插件的时候绕了一圈网上的教程，没有发现比较好的文档教程，索性根据官方文档梳理一遍，避免后面学习的同学继续踩坑！！！

02

Vue.js 3 正式进入 RC 阶段

进入RC阶段意味着Vue 3核心的API和实现均已稳定。原则上，我们不希望在最终版本发布之前引入新的主要功能或做出重大更改。现在，大多数官方框架部件也提供了v3支持。请在此处查看最新状态。

02

谷歌来了也不好使！谁说Chrome插件v3中不能使用eval?

近期在做一个Chrome浏览器截图插件，功能是从浏览器截图并发送图片到企微，便于在远程办公环境下快速从浏览器发送图片进行showCase（目前未真正使用上，原因是截图时html2canvas有错位）

04

为什么Python Selenium获取的Cookie不完整？

在某些情况下，使用Python Selenium访问网页并尝试获取Cookie时，可能会发现获取到的Cookie不完整。具体而言，期望获取的Cookie键值对数量与实际获取的数量不符。类似这个uu的问题：

01

基于Kubernetes v1.24.0的集群搭建（一）

K8S 1.24作为一个很重要的版本更新，它为我们提供了很多重要功能。该版本涉及46项增强功能：其中14项已升级为稳定版，15项进入beta阶段，13项则刚刚进入alpha阶段。此外，另有2项功能被弃用、2项功能被删除。

01

能说会道爱办公——“别人家的”Chrome插件到底怎么做

根据相关数据显示，谷歌的Chrome浏览器目前已达近七成的市场占有率，成为浏览器的“霸主”。大家选择Chrome，除了是因为性能的优越以及强大的兼容性之外，Chrome充足的扩展插件，可以让我们的浏览器成为一个“百宝箱”。而谷歌浏览器插件更是一种用于定制浏览器体验的小程序，通过插件，我们可以根据个人的需求定制浏览器的行为。Chrome插件是一个用Web技术开发的软件，可以说只要掌握了”前端三兄弟“（html、js、css），相当于会了Chrome插件开发的一大半。

03

使用 Istio 实现非侵入流量治理

现在最火的后端架构无疑是微服务了，微服务将之前的单体应用拆分成了许多独立的服务应用，每个微服务都是独立的，好处自然很多，但是随着应用的越来越大，微服务暴露出来的问题也就随之而来了，微服务越来越多，管理越来越麻烦，特别是要你部署一套新环境的时候，你就能体会到这种痛苦了，随之而来的服务发现、负载均衡、Trace跟踪、流量管理、安全认证等等问题。如果从头到尾完成过一套微服务框架的话，你就会知道这里面涉及到的东西真的非常多。当然随着微服务的不断发展，微服务的生态也不断完善，最近新一代的微服务开发就悄然兴起了，那就是服务网格/Service Mesh。

03

Chrome浏览器HTML支持本地（file协议）的AJAX请求

在运行html demo页面时，当demo页面中使用file来引入js（jQuery）来进行ajax请求资源时，会出现如下错误：

02

Istio边界流量-Ingress Gateway拓展用法

该应用由四个单独的微服务构成。这个应用模仿在线书店的一个分类，显示一本书的信息。页面上会显示一本书的描述，书籍的细节（ISBN、页数等），以及关于这本书的一些评论。

04

国际大厂 Google 安全策略——【译】BeyondCorp 一种新的企业安全方法

本文是对于 Google 相关安全策略的中文翻译，方便大家了解 Google 的相关安全策略。

01

公有云如何做等级保护（二）

用户使用了公有云后，存在安全责任的边界。就像客户使用了云桌面，中病毒、删除驱动造成无法登陆等问题出现，都会联系到云服务商进行处理。安全责任边界的清晰，将使云等保测评中，双方对维护、投资、整改、测评的边界有明确的界定。

05

ASP.NET Core 6框架揭秘实例演示[36]：HTTPS重定向

HTTPS是确保传输安全最主要的手段，并且已经成为了互联网默认的传输协议。不知道读者朋友们是否注意到当我们利用浏览器（比如Chrome）浏览某个公共站点的时候，如果我们输入的是一个HTTP地址，在大部分情况下浏览器会自动重定向到对应HTTPS地址。这一特性源于浏览器和服务端针对HSTS（HTTP Strict Transport Security）这一HTTP规范的支持。ASP.NET利用HstsMiddleware和HttpsRedirectionMiddleware这两个中间件提供了对HSTS的实现。（本文提供的示例演示已经同步到《ASP.NET Core 6框架揭秘-实例演示版》）

03

[简中] Google Summer of Code & Chrome Extensions

我是一名来自中国的大二学生，对Web开发非常感兴趣。在我大一的时候，我加入了一个技术社团（杭电助手），这可以说是让我接触编程和开源的一个起点。在杭电助手，我遇到了一群和我志同道合、对开发充满热情的同学，也正是在于他们交流的过程中，我在2023年初了解到了 Google Summer of Code。GSoC 是一个由 Google 组织的全球性项目，旨在建立学生与开源组织间的联系，并指导他们充分利用暑假去参加到开源活动之中。

01

另类追踪之——被“策反”的安全机制

Web安全一直是互联网用户非常关心的话题，无论是国际互联网组织还是浏览器厂商，都在尽力使用各种策略和限制来保障用户的信息安全。然而，这种好的出发点，却极可能被心怀不轨的人利用（即被“策反”），来对用户进行追踪，带来更多的隐私泄露问题和其他的安全隐患。一、首先，介绍两个安全机制（1）HTTP严格传输安全HSTS HSTS(HTTP Strict Transport Security)[1]，是国际互联网工程组织正在推行的Web安全协议，其作用是强制客户端（如浏览器）使用HTTPS与服务器创建连接，用来抵

08

经验分享：Docker安全的26项检查清单（checklist）

容器以及编排工具（例如Kubernetes）开创了应用开发的新时代，让微服务架构以及CI/CD的实现成为了可能。Docker是迄今为止最主要的容器运行时引擎。然而，使用Docker容器构建应用也引入了新的安全挑战和风险。

01

消灭 DOM 型 XSS 的终极杀招！

最近发现 Chrome 团队在博客更新了一篇文章，表示 YouTube 要实施 Trusted Types（可信类型）了，要求相关插件的开发者尽快完成改造，不然插件可能就用不了了。

01

Chrome插件manifest.json文件详解

开发Chrome插件首先就是配置manifest.json文件了，利用它我们可以定义在什么时机以及在什么网页执行什么脚本，有一些什么行为，下面我一起来看看这个文件有哪些配置项以及有什么作用：

02

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭