Wie fügt man content_security_policy mehrere Domains in einem Chrome-Plugin hinzu?

Question

Ich entwickle ein Chrome-Plugin, bei dem externe Skripte aus verschiedenen Domänen geladen werden. Ich habe die Dokumentation und einige Tutorials gelesen, um diese Domains zu erlauben.

Die docs Ich habe überprüft:

• http://developer.chrome.com/extensions/contentSecurityPolicy.html
• http://www.html5rocks.com/en/tutorials/security/content-security-policy/
• http://dvcs.w3.org/hg/content-security-policy/raw-file/tip/csp-specification.dev.html#syntax

Es alle gleich sagt, aus dem ich diese Regel in der manifest.json erstellt:

{ 
    // .. general settings 
    "content_security_policy": "script-src 'self' https://ajax.googleapis.com http://mysite.com; object-src 'self'" 
} 

Zu diesem Chrome reagiert die folgende:

Could not load extension from '/Users/itarato/Desktop/DRC Tutorial Client'. 
Invalid value for 'content_security_policy': Both 'script-src' and 'object-src' directives must be specified (either explicitly, or implicitly via 'default-src'), and both must whitelist only secure resources. 
You may include any of the following sources: "'self'", "'unsafe-eval'", "http://127.0.0.1", "http://localhost", or any "https://" or "chrome-extension://" origin. 
For more information, see http://developer.chrome.com/extensions/contentSecurityPolicy.html 

Natürlich habe ich mehrere Kombinationen ausprobiert habe, aber alle gescheitert. Es funktioniert nur, wenn ich nur eine Domäne verwende. Wie kann ich mehr hinzufügen?

Answer 1

Die Syntax, die Sie haben, ist in Ordnung, das Problem ist, dass Ihre http://mysite.com Quelle nicht sicher ist. Der Teil "Weiße Liste nur sichere Ressourcen" der Chrome-Fehlermeldung verweist darauf. Sie müssen https://mysite.com verwenden.