javascript - 不安全的 CSP 值 "' unsafe-eval '"in directive ' script-src'

Question

在尝试将第三方 js 文件加载到 chrome 扩展的内容脚本中时。我面临着 unsafe-eval错误
我的 manifest.json 看起来像这样

{
    "manifest_version": 3,
    "name": "Test",
    "version": "1.0",
    "host_permissions": ["https://mail.google.com/"],
    "content_scripts": [
        {
            "matches": [
                "https://mail.google.com/*"
            ],
            "js": ["3rdparty.js", "code.js"],
            "run_at": "document_end"
        }
    ]
}

加载后我收到此错误

Error logged: EvalError: Refused to evaluate a string as JavaScriptbecause 'unsafe-eval' is not an allowed source of script in thefollowing Content Security Policy directive: "script-src 'self'".

所以，我尝试将 csp 添加到 list 文件中

{
...,
"content_security_policy": {
    "extension_pages": "script-src 'self' 'unsafe-eval'; object-src 'self'"
  }
}

然后我在 chrome 中收到这个错误，告诉它无法加载扩展

'content_security_policy.extension_pages': Insecure CSP value"'unsafe-eval'" in directive 'script-src'.

Answer 1

恐怕你不能使用 'unsafe-eval' 在 list 版本 3

Are you executing remote code or arbitrary strings?You can no longer execute external logic using chrome.scripting.executeScript({code: '...'}), eval(), and new Function().

您必须将所有脚本移动到远程或本地文件中。
您可以在远程文件(例如 php)上生成脚本并使用 chrome.scripting.executeScript 执行它而不是使用 eval()或考虑迁移回 MV2。