این صفحه بخشی از اسناد پلتفرم Chrome Apps است که در سال 2020 منسوخ شد. برنامه‌های Chrome در حالت کیوسک که توسط مشتریان Enterprise و Education استفاده می‌شد، دیگر پس از آوریل 2027 پشتیبانی نمی‌شوند و این به معنای پایان عمر آنهاست. به‌علاوه، تمام برنامه‌های Chrome باقی‌مانده که در محیط‌های مدیریت‌شده توسط سازمان‌های Enterprise و Education استفاده می‌شوند، در اکتبر ۲۰۲۸ به پایان عمر خود می‌رسند. درباره انتقال برنامه خود بیشتر بدانید.

این صفحه به‌وسیله ‏Cloud Translation API‏ ترجمه شده است.

خط مشی امنیت محتوا

اگر با سیاست امنیتی محتوا (CSP) آشنایی ندارید، مقدمه ای بر خط مشی امنیت محتوا نقطه شروع خوبی است. آن سند نمای گسترده تر پلتفرم وب CSP را پوشش می دهد. Chrome App CSP چندان انعطاف‌پذیر نیست.

CSP سیاستی برای کاهش مشکلات اسکریپت بین سایتی است و همه ما می دانیم که اسکریپت نویسی بین سایتی بد است. ما قصد نداریم شما را متقاعد کنیم که CSP یک سیاست جدید گرم و مبهم است. کار درگیر است. شما باید یاد بگیرید که چگونه وظایف اساسی را متفاوت انجام دهید.

هدف این سند این است که دقیقاً به شما بگوید خط‌مشی CSP برای برنامه‌های Chrome چیست، برای پیروی از آن چه کاری باید انجام دهید، و چگونه می‌توانید آن وظایف اساسی را به روشی مطابق با CSP انجام دهید.

CSP برای برنامه‌های Chrome چیست؟

خط‌مشی امنیت محتوا برای برنامه‌های Chrome شما را از انجام کارهای زیر محدود می‌کند:

نمی توانید از اسکریپت درون خطی در صفحات برنامه Chrome خود استفاده کنید. این محدودیت هم بلوک‌های <script> و هم کنترل‌کننده‌های رویداد را ممنوع می‌کند ( <button onclick="..."> ).
شما نمی توانید به هیچ منبع خارجی در هیچ یک از فایل های برنامه خود ارجاع دهید (به جز منابع ویدیویی و صوتی). شما نمی توانید منابع خارجی را در iframe جاسازی کنید.
شما نمی توانید از روش های string-to-javaScript مانند eval() و new Function() استفاده کنید.

این از طریق مقدار سیاست زیر اجرا می شود:

default-src 'self';
connect-src * data: blob: filesystem:;
style-src 'self' data: 'unsafe-inline';
img-src 'self' data:;
frame-src 'self' data:;
font-src 'self' data:;
media-src * data: blob: filesystem:;

برنامه Chrome شما فقط می‌تواند به اسکریپت‌ها و اشیاء درون برنامه شما اشاره کند، به استثنای فایل‌های رسانه (برنامه‌ها می‌توانند به ویدیو و صدا خارج از بسته اشاره کنند). برنامه‌های افزودنی کروم به شما امکان می‌دهند سیاست امنیتی محتوای پیش‌فرض را کاهش دهید. برنامه‌های Chrome این کار را نمی‌کنند.

نحوه رعایت CSP

همه جاوا اسکریپت و همه منابع باید محلی باشند (همه چیز در برنامه Chrome شما بسته بندی می شود).

"اما پس من چطور..."

این احتمال وجود دارد که شما از کتابخانه های قالب استفاده می کنید و بسیاری از آنها با CSP کار نمی کنند. همچنین ممکن است بخواهید به منابع خارجی در برنامه خود (تصاویر خارجی، محتوای وب سایت ها) دسترسی داشته باشید.

از کتابخانه های قالب استفاده کنید

از کتابخانه ای استفاده کنید که قالب های از پیش کامپایل شده را ارائه می دهد و همه چیز آماده است. همچنان می‌توانید از کتابخانه‌ای استفاده کنید که پیش‌کامپایل را ارائه نمی‌دهد، اما نیاز به کمی کار از سوی شما دارد و محدودیت‌هایی وجود دارد.

شما باید از sandboxing برای جداسازی هر محتوایی که می‌خواهید کارهای «Eval» انجام دهید، استفاده کنید. Sandboxing CSP را روی محتوایی که شما مشخص کرده‌اید، افزایش می‌دهد. اگر می‌خواهید از APIهای بسیار قدرتمند Chrome در برنامه Chrome خود استفاده کنید، محتوای جعبه ایمنی شما نمی‌تواند مستقیماً با این APIها تعامل داشته باشد (به محتوای محلی Sandbox مراجعه کنید).

دسترسی به منابع راه دور

می توانید منابع راه دور را از طریق XMLHttpRequest واکشی کنید و آنها را از طریق blob: , data: , یا filesystem: URL ها ارائه دهید ( رجوع به منابع خارجی را ببینید).

ویدیو و صدا را می‌توان از سرویس‌های راه دور بارگیری کرد، زیرا در حالت آفلاین یا تحت اتصال نقطه‌ای، رفتار بازگشتی خوبی دارند.

محتوای وب را جاسازی کنید

به جای استفاده از iframe، می‌توانید با استفاده از برچسب webview به یک URL خارجی فراخوانی کنید ( به جاسازی صفحات وب خارجی مراجعه کنید).