Content-Security-Policy и manifest v3?

Question

[Elvis]

Привет!
Никак не могу разобраться с 3 версией манифеста.
Вроде как 3 версия теперь запрещает инжектить скрипты на страницу, но у меня 90% плагина построено на этом, чтобы облагородить сайт новыми функциями.
на манифесте версии 2 - всё работает, но поменяв на 3 выходит вот такая ошибка:

Refused to execute inline script because it violates the following Content Security Policy directive: "script-src 'self'". Either the 'unsafe-inline' keyword, a hash ('sha256-xh//iOp5YsjV4AHCfTPhZ7ybsMYdmYyvqiTjVw3FmHY='), or a nonce ('nonce-...') is required to enable inline execution.

Начал смотреть что за ошибка, но везде примеры под 2 версию манифеста, с вариантами:

Content-Security-Policy: script-src 'nonce-EDNnf03nceIOfn39fn3e9h3sdfa'
Content-Security-Policy: script-src 'sha256-xh//iOp5YsjV4AHCfTPhZ7ybsMYdmYyvqiTjVw3FmHY='

в 3 версии манифеста нужно по другому объявлять:

"content_security_policy": {
  "extension_pages": "...",
  "sandbox": "..."
}

Но где бы я не смотрел - пишут типо "просто измените вот на такую форму", но что куда не могу найти. пробовал по разному - всё тщетно, либо плагин при загрузке ругается на не верный манифест, либо ошибка, что выше, попросту остается.
ругается у меня на том месте где я создаю тег script, пихаю туда свои функции и инжекчу на html:

let PageScriptSpace = document.createElement('script');
InjectFunction = function(PageScriptSpace, func) {
   PageScriptSpace.innerHTML += func + ';';
}
InjectFunction(PageScriptSpace,  foo);
InjectFunction(PageScriptSpace,  bar);
h = document.querySelector('head');
h.appendChild(PageScriptSpace);

Поделитесь, пожалуйста, примерами.

Answer 1

[Rst0]

пример:
если я делаю ижект на страницу youtube,
то в манифест пишу

"web_accessible_resources": [
      {
         "resources": [ "inner.js", "test.css" ],
         "matches": [ "https://www.youtube.com/*", "https://m.youtube.com/*" ],
         "extension_ids": []
      }
   ],

   "host_permissions": [
         "https://www.youtube.com/*",
   ],
и он работает

const injectJS = document.createElement('script');
   injectJS.type='text/javascript';
   injectJS.src=chrome.runtime.getURL("inner.js");
   document.body.appendChild(injectJS);

Comments

[Elvis]

третий манифест?

[Rst0]

да

[Rst0]

ну и разрешения, для примера

"permissions": [
         "storage", "activeTab", "scripting", "nativeMessaging","tabs","webRequest"
   ],

[Elvis]

Получилось!
так как у меня в плагине много js используется, каждый на своей определенной страничке, то я мделал манифест такой:

{
    "update_url": "https://clients2.google.com/service/update2/crx",
    "name": "Name Project",
    "version": "123",
    "manifest_version": 3,
    "permissions": [
        "storage", "activeTab", "scripting", "nativeMessaging","tabs","webRequest"
    ],
    "host_permissions": [
        "*://*.site.ru/*"
    ],
    "icons": {
        "16": "img/16.png",
        "48": "img/48.png",
        "128": "img/128.png"
    },
    "options_ui": {
        "page": "options.html",
        "open_in_tab": false
    },
    "content_scripts": [{
        "matches": [
            "*://*.site.ru/*"
        ],
        "js": [
            "injects.js"
        ],
        "all_frames": true,
        "run_at": "document_idle"
    }],
    "web_accessible_resources": [
        {
            "resources": [
                "script1.js",
                "script2.js",
                "script3.js",
                "script4.js",
                "script5.js"
            ],
            "matches": ["*://*.site.ru/*"]
        }
    ]
}

Далее в inject.js:

function inj(url){
    let injectJS = document.createElement('script');
    injectJS.setAttribute('charset', 'utf-8');
    injectJS.type='text/javascript';
    injectJS.src=chrome.runtime.getURL(url);
    document.head.appendChild(injectJS);
}
inj("script1.js");
inj("script2.js");
inj("script3.js");
inj("script4.js");
inj("script5.js");

Соответственно в каждом "script*.js" прописал проверку на window.location.pathname

Супер! думал в моем варианте придется очень много переписывать кода чтобы подойти под третий манифест.

[Rst0]

Отлично!
Там немаловажно, что мануал к манифесту V3 складывается из
из V2 + что изменено в V3 - если читать только V3, то там нет многих важных вещей.

[Elvis]

Rst0, это да, но на v2 работал плагин несколько лет, вот гугл начал прижимать, решил обновиться, однако из-за инжектов не работало в моем случае. Ваша версия с небольшими допилами под свой плагин прошла на ура!

[dmitriyn3679]

Rst0, Здравствуйте а что делать в случае если скрипт нужен в начале загрузки документа:
"run_at": "document_start", там document.head еще нету