google-chrome-extension - 为什么 Chrome 不会使用允许本地主机的内容安全策略加载扩展程序？

Question

我正在开发一个 Chrome 扩展，想从 localhost 加载脚本进行开发。所以我更新了 list 文件以包含以下行:

"content_security_policy": "script-src 'self' http://localhost; object-src 'self'",

根据 Content Security Policy 上的文档，在没有 https 的情况下使用 localhost 或 127.0.0.1 是完全没问题的。

但是，当我尝试从 chrome://chrome/extensions/ 加载扩展时，我收到以下( mock 的)错误消息:

Could not load extension from '/Users/Tim/Desktop/temp/test'. Invalid value for 'content_security_policy': Both 'script-src' and 'object-src' directives must be specified (either explicitly, or implicitly via 'default-src'), and both must whitelist only secure resources. You may include any of the following sources: "'self'", "'unsafe-eval'", "http://127.0.0.1", "http://localhost", or any "https://" or "chrome-extension://" origin. For more information, see http://developer.chrome.com/extensions/contentSecurityPolicy.html

要确认问题，您可以使用以下 manifest.json 文件创建一个空目录:

{
  "name": "Example extension",
  "description": "Trying to demonstrate a bug in Chrome",
  "version": "0.1",
  "homepage_url": "http://example.com",
  "content_security_policy": "script-src 'self' http://localhost; object-src 'self'",

  "manifest_version": 2
}

并将目录加载为解压后的扩展。你应该得到错误。如果您删除 http://localhost 或将其更改为 https://localhost，它将正常加载。

我错过了什么吗？

(注意:我使用的是 Chrome 22.0.1229.79)

谢谢!

Answer 1

将 localhost 添加到 CSP 值的能力由 Chromium revision 151470 启用，它在 Chrome 23 中(目前处于开发 channel ，即将进入测试 channel )。