如何允許我的Chrome應用訪問外部Api

Question

我剛大學畢業，正在嘗試新事物。 我正在嘗試制作Chrome應用，並希望使用：

<script src="http://connect.soundcloud.com/sdk.js"></script>

當我嘗試運行它時，出現此錯誤：

Refused to load the script 'http://connect.soundcloud.com/sdk.js' because it violates the following Content Security Policy directive: "default-src 'self' chrome-extension-resource:". Note that 'script-src' was not explicitly set, so 'default-src' is used as a fallback.

我閱讀了CSP之類的內容，但似乎無法正常工作。

我曾嘗試將content_security_policy放入清單中，但還是沒有運氣。 也許我做錯了：

"content_security_policy": "script-src 'self' http://connect.soundcloud.com/; object-src 'self'"

任何幫助都將非常驚人！

Answer 1

您應該嘗試使用API​​進行連接，然后執行此操作，您需要在應用清單文件中編輯權限。 請參閱： https ： //developer.chrome.com/extensions/permission_warnings

如果要從其他網站加載外部內容，則需要將其隔離。 參見https://developer.chrome.com/apps/app_external

Answer 2

在manifest.json中，您需要指定一個自定義的內容安全策略。 特別是，在您的示例中，您需要指定：

"content_security_policy": "... script-src: http://connect.soundcloud.com/ ..."

這會將connect.soundcloud.com添加到允許您的應用加載腳本的位置的白名單。 這有助於防止對您的應用程序進行跨站點腳本（XSS）攻擊。

有關如何將CSP應用於Chrome Apps的更多信息，請參見https://developer.chrome.com/extensions/contentSecurityPolicy 。 有關非常酷的內容安全策略技術的更一般的概述，請參見http://www.html5rocks.com/en/tutorials/security/content-security-policy/ 。