Questa pagina fa parte della documentazione relativa alla piattaforma App di Chrome, che è stata ritirata nel 2020. Rimane supportato per i clienti Enterprise ed Education su ChromeOS almeno fino a gennaio 2025. Scopri di più sulla migrazione dell'app.

Questa pagina è stata tradotta dall'API Cloud Translation.

Manifest - Sandbox

Avviso: a partire dalla versione 57, Chrome non consentirà più contenuti web esterni (inclusi frame e script incorporati) all'interno di pagine con sandbox. Utilizza invece una webview.

Definisce una raccolta di pagine di app o estensioni da pubblicare in un'origine unica sandbox e, facoltativamente, un criterio di sicurezza del contenuto da utilizzare. La presenza in una sandbox ha due implicazioni:

Una pagina in sandbox non avrà accesso alle API di estensioni o app né all'accesso diretto alle pagine non in sandbox (potrebbe comunicare con queste tramite postMessage()).
Una pagina in sandbox non è soggetta ai criteri di sicurezza del contenuto (CSP) utilizzati dal resto dell'app o dell'estensione (ha un proprio valore CSP separato). Ciò significa che, ad esempio, può utilizzare script in linea e eval.

Ad esempio, ecco come specificare che due pagine di estensioni devono essere pubblicate in una sandbox con un CSP personalizzato:
```
{
  ...
  "sandbox": {
    "pages": [
      "page1.html",
      "directory/page2.html"
    ]
    // content_security_policy is optional.
    "content_security_policy":
        "sandbox allow-scripts; script-src 'self'"
  ],
  ...
}
```
Se non specificato, il valore predefinito di content_security_policy è sandbox allow-scripts allow-forms allow-popups allow-modals; script-src 'self' 'unsafe-inline' 'unsafe-eval'; child-src 'self';. Puoi specificare il valore CSP per limitare ulteriormente la sandbox, ma deve avere la direttiva sandbox e non può avere il token allow-same-origin (consulta la specifica HTML5 per i possibili token sandbox). Inoltre, il CSP specificato potrebbe non consentire il caricamento di contenuti web esterni all'interno di pagine con sandbox.

Tieni presente che devi elencare solo le pagine che pensavi di caricare in finestre o frame. Le risorse utilizzate dalle pagine con sandbox (ad es. i fogli di stile o i file sorgente JavaScript) non devono necessariamente essere visualizzate nell'elenco sandboxed_page, utilizzeranno la sandbox della pagina che le incorpora.

"Utilizzo di eval nelle estensioni di Chrome. Safely." approfondisce ulteriormente l'implementazione di un flusso di lavoro di sandboxing che consente l'utilizzo di librerie che altrimenti avere problemi durante l'esecuzione in base ai Criteri di sicurezza del contenuto predefiniti dell'estensione.

La pagina in sandbox può essere specificata solo quando utilizzi manifest_version 2 o versioni successive.