Как прописать инлайновый скрипт в manifest v3?

Question

[newaitix]

Манифест v3 не работает инлайновый скрипт ошибка

Refused to execute inline script because it violates the following Content Security Policy directive: "script-src 'self'". Either the 'unsafe-inline' keyword, a hash ('sha256-5oSAL3avyJmEQUQe+yWdwWpnk8zZY2GYiHf3b01uagI='), or a nonce ('nonce-...') is required to enable inline execution.

Что я делаю не так?

{
 "content_security_policy": {
   "extension_pages": "script-src 'self'; object-src 'self'",
   "sandbox": "sandbox allow-scripts; script-src 'sha256-5oSAL3avyJmEQUQe+yWdwWpnk8zZY2GYiHf3b01uagI=' 'https://apis.google.com/'; object-src 'self'"
 },
 "chrome_url_overrides":{
  "newtab":"html/newpage.html"
 }
//...
}

Ошибка возникает из-за наличия инлайнового скрипта в файле newpage.html

Comments

[Rst0]

оно?
Content-Security-Policy и manifest v3

[newaitix]

Нет. Вставлять скрипт на сайте мне не нужно. Инлайновыйскрипт присутствует в файле newpage.html

"chrome_url_overrides":{
  "newtab":"html/newpage.html"
 },

Подправил вопрос.

Answer 1

[Олег]

"script-src 'self'". Either the 'unsafe-inline' keyword

self зарегистрированное слово. this , self что делают в js ? Нельзя свои скрипты называть зарегистрированными словами

Comments

[newaitix]

this там вроде нет.
self я использую как зарезервированное слово, а не как название своего скрипта.
И это не js это json

Answer 2

[Надим]

https://qna.habr.com/q/1135602

Comments

[newaitix]

Не удаленный код а код в самом расширении. Подправил вопрос.

[Надим]

newaitix, механизм тот же самый. Не имеет значения вставляешь ты удалённый код или код из папки с расширением.

[newaitix]

Надим Закиров, Нет ты не понял. Мне не инжектить нужно скрипт. По лику что ты кинул располагается обсуждение как инжектить скрипт.

Существует ли способ вставить и выполнить скрипт на целевом сайте инлайново?

У мне не происходит инжект у меня скрипт уже присутствует в расширении.
Подгружать или вставлять скрипт не нужно. Нужно разрешить выполнение скрипта.

[Надим]

newaitix, если ты хочешь в воркере расширения подключить какие-то библиотеки... то это нельзя. Код библиотек вставляй непосредственно в код воркера.

К контент скриптам это тоже относится - вставляй весь сторонний код сразу в код контент скрипта.

[newaitix]

Надим Закиров, Там не библиотеки там одна строчка. Мое расширение это 3 файла.

background.js
// пустой файл
manifest.json

{
 "content_security_policy": {
   "extension_pages": "script-src 'self'; object-src 'self'",
   "sandbox": "sandbox allow-scripts; script-src 'sha256-5oSAL3avyJmEQUQe+yWdwWpnk8zZY2GYiHf3b01uagI=' 'https://apis.google.com/'; object-src 'self'"
 },
 "chrome_url_overrides":{
  "newtab":"newpage.html"
 },
"background": {
"service_worker": "background.js"
}
//...
}

newpage.html

<script>
	var a=1;
</script>

Вот и весть код, больше ничего нет! Вставлять никуда ничего не нужно, никакие библиотеки подгружать не нужно, никаких фреймоворков, сторонних кодов я не использую. Контент страницы я тоже не модифицирую, файл воркера пуст. Нужно просто разрешить выполнение инлайнового скрипта в файле newpage.html
Такое вообще возможно сделать?

[Надим]

newaitix, нельзя, я уже пробовал много раз, хром в третьем манифесте тупо игнорирует CSP разрешения. Используй <script src="..."></script>
при этом ссылка должна обязательно на локальный файл.

[newaitix]

Надим Закиров, Понял. Обидно. Задача этого скрипта как раз была в том чтоб выполняться как можно быстрее. А плюс файл это плюс кучу времени для загрузки этого файла. Производительность конечно страдает.

[Надим]

newaitix, зачем вам это надо? Просто поправьте свои остальные скрипты, чтобы они запускали лишь после скрипта, который вы хотели инлайново запустить.