リモートホスト型コード違反に対処する

リモートホストコード(RHC)は、Chrome ウェブストアで ブラウザ以外の場所から読み込まれたブラウザによって 保持する必要があります。JavaScript や WASM などです。以下を含まない JSON や CSS などです

RHC が利用できなくなったのはなぜですか?

Manifest V3 拡張機能では、使用するすべてのコードをバンドルする必要がある できます。これまでは、API を介してスクリプトタグを動的に挿入し、 アクセスすることもできます。

拡張機能に RHC があると通知されました。どうしましたか?

拡張機能が審査で Blue Argon エラーで不承認となった場合: 審査担当者によって、拡張機能がリモートでホストされているコードを使用していると判断されました。これは、 通常は、拡張機能がリモート API でスクリプトタグを追加しようとした (つまり、 拡張機能を取得するか、リソースをフェッチして直接実行します。

RHC の見分け方

何を探すべきかがわかっていれば、RHC の発見は特に困難ではありません。まず、 「http://」という文字列を確認します。または「https://」必要があります。すでに RHC の違反があれば、それを見つけることで特定できる可能性があります。条件 完全なビルドシステムを持っているか、npm またはその他のサードパーティの依存関係を使用している。 必ずコンパイル済みバージョンのコードを検索してください。 それが店舗の評価対象であるためです。それでも 問題が見つかった場合は、ワンストップ サポートにお問い合わせください。。 具体的な違反と要件について概説できます 公開されるよう設定することをおすすめします。

ライブラリがコードをリクエストしている場合の対処方法

コードの出所にかかわらず、RHC を含めることはできません。この 自分で作成したものではないコードが含まれているものの、 できます。Firebase を使用している一部のデベロッパーでは、リモート接続時にこの問題が発生した Firebase Auth で使用するためにコードが含まれていました。これは ファースト パーティ(Google 所有の)ライブラリを使用する場合、RHC も例外ではありません。必要な コードを構成するために、RHC を削除するか、 コードを追加します自分のコードではない問題が発生した場合 使用するライブラリが RHC を読み込む場合、 図書館の著者に連絡することです。そのような状況であることを伝えてください。 回避策やコードの更新を依頼します

ライブラリの更新を待てない場合

ライブラリによっては通知の直後にアップデートが配布されますが、 放棄されたり、問題に対処するために時間を費やしたりする場合もあります。内容による 特定の違反で発生している場合、 移行のブロックを解除して、審査を完了してください。他にも オプションが用意されています。

コードを監査する

リクエストの原因となっているコードが必要であることを確信していますか?できる場合 原因となっているライブラリを削除してから、 ジョブは完了です

あるいは、同じ機能を提供する別のライブラリはありますか?試す npmjs.com、GitHub、またはその他のサイトで 考えてみましょう

ツリー シェイキング

RHC 違反の原因となっているコードが実際に使用されていない場合は、 ツールで自動的に削除できます最新のビルドツール webpackRollupVite などには トレーニングされます。ビルドシステムでツリー シェイキングを有効にすると 使用されていないコードパスを削除します。すなわち、より多くの分析情報を よりスリムで高速なコードを作成できます。大事なこと なお、すべてのライブラリがツリー シェイクに対応しているわけではありませんが、多くのライブラリがツリー シェイクに対応しています。一部 Rollup や Vite などのツールでは、デフォルトでツリー シェイキングが有効になっています。Webpack 構成する必要があります。ビルドを使用していない場合 コード ライブラリを使用している場合は、 ワークフローにビルドツールを追加することをおすすめしますビルド ツールを利用して、より安全で信頼性が高く、保守性の高いプロジェクトを作成できます。

ツリーシェイキングの実装方法は、プロジェクトによって異なります。 簡単な例として、Rollup の簡単な例を挙げると、 プロジェクト コードをコンパイルします。たとえば、Compute Engine インスタンスに main.js と呼ばれる Firebase Auth:

import { GoogleAuthProvider, initializeAuth } from "firebase/auth";

chrome.identity.getAuthToken({ 'interactive': true }, async (token) => {
  const credential = GoogleAuthProvider.credential(null, token);
  try {
    const app = initializeApp({ ... });
    const auth = initializeAuth(app, { popupRedirectResolver: undefined, persistence: indexDBLocalPersistence });
    const { user } = await auth.signInWithCredential(credential)
    console.log(user)
  } catch (e) {
    console.error(error);
  }
});

この場合は、入力ファイルを Rollup に指定します。入力ファイルには、 load node ファイル @rollup/plugin-node-resolve と出力の名前。 表示されます。

npx rollup --input main.js --plugin '@rollup/plugin-node-resolve' --file compiled.js

ターミナル ウィンドウでこのコマンドを実行すると、生成されたバージョンが返されます。 main.js ファイルのすべてで、compiled.js という名前の 1 つのファイルにコンパイルされます。

ロールアップはシンプルですが、非常に構成することもできます。すべての種類を追加できます 必要な場合は、ドキュメントをご覧ください。 このようなビルドツールを追加すると、コードのサイズが小さく、効率が上がり、 リモートホストコードの問題を修正します

ファイルの自動編集

リモートでホストされたコードがコードベースに入る方法は、 インクルードするライブラリの下位依存関係として指定する必要がある。ライブラリ「X」が次の許可をリクエストしている場合 import ライブラリ Y を CDN から取得する場合、次のように更新する必要があります。 ローカルソースから読み込む場合です最新のビルドシステムを使用すると、ビルドを リモート参照を抽出し、コードに直接インラインで記述できます。

つまり、次のようなコードがあるとします。

import moment from "https://unpkg.com/moment@2.29.4/moment.js"
console.log(moment())

小規模なロールアップ プラグインを作成できます。

import { existsSync } from 'fs';
import fetch from 'node-fetch';

export default {
  plugins: [{
    load: async function transform(id, options, outputOptions) {
      // this code runs over all of out javascript, so we check every import
      // to see if it resolves as a local file, if that fails, we grab it from
      // the network using fetch, and return the contents of that file directly inline
      if (!existsSync(id)) {
        const response = await fetch(id);
        const code = await response.text();

        return code
      }
      return null
    }
  }]
};

新しいプラグインでビルドを実行すると、すべてのリモート import URL が それが私たちのコード、下位依存関係、 サブサブディペンデシーなどに属します。

npx rollup --input main.js --config ./rollup.config.mjs --file compiled.js

ファイルの手動編集

最も簡単な方法は、RHC の原因となっているコードを削除することです。アプリで開く テキスト エディタで編集し、違反している行を削除します。通常、これは それはあまり適切ではありません。脆弱で、忘れられる可能性があるためです。その結果 「library.min.js」という名前のファイルをではない 実際には library.min.js です。未加工ファイルを編集する代わりに、 メンテナンスしやすい方法として、patch-package などのツールを使用できます。これはスーパー 変更をファイルに保存できる優れたオプションであり、 あります。これはパッチファイルを基盤としており、 GitSubversion などのバージョン管理システムを強化します。必要なのは、 で、違反コードを手動で変更し、差分ファイルを保存して、 適用する変更を適用します。チュートリアルの全文は プロジェクトの README をご覧ください。プロジェクトにパッチを適用する場合 プロジェクトに連絡して変更をリクエストし あります。パッチパッケージはパッチの管理がはるかに容易になりますが 何のパッチも必要ないことは間違いありません

コードが使用されていない場合の対処方法

コードベースが大きくなるにつれて、依存関係(または依存関係 / 依存関係)が拡大するにつれ (...)は、使用されなくなったコードパスを保持できます。これらのセクションのいずれかが RHC の読み込みや実行を行うコードが含まれている場合は、削除する必要があります。これは、 使われていないか未使用かは関係ありません使用されていない場合は、 ツリーシェイキング、またはライブラリにパッチを適用してファイルを削除できます。

回避策はあるか?

一般的には、そのようなことはありません。RHC は許可されていません。ただし、 許可されているケース。このようなケースでは ほとんどの場合 他の選択肢では不可能です

ユーザー スクリプト API

ユーザー スクリプトは小さなコード スニペットであり、通常は TamperMonkeyViolentmonkey。これらのマネージャーは、内部 IP アドレスしか使用できない ユーザーによって記述されるため、User Script API は、コードを実行する方法を提供します。 指定することもできます。これは以下に代わるものではありませんchrome.scripting.executeScript、またはその他のコード実行環境で実行します。 ユーザーが何かを実行するには、デベロッパー モードを有効にする必要があります。Chrome ウェブ アプリが 店舗審査チームが、この情報が他の方法で使用されていると判断した 承認されない場合、承認されない場合、承認されない場合、 リスティングがストアから削除された。

chrome.debugger

chrome.debugger API を使用すると、拡張機能は Chrome DevTools プロトコル。これは、Compute Engine インスタンスで Chrome の Devtools、その他のさまざまなツール。これにより、 リモートコードをリクエストして実行できます。ユーザー スクリプトと同様に、 chrome.scripting に代わるもので、ユーザー エクスペリエンスが大幅に向上します。 使用中は画面上部に警告バーが クリックします。バナーを閉じるか閉じた場合、デバッグ セッションは 停止されました。

<ph type="x-smartling-placeholder">
</ph> 「デバッガ拡張機能でこのブラウザのデバッグを開始しました」というメッセージが表示された Chrome のアドレスバーのスクリーンショット 「Debugger Extension がこのブラウザのデバッグを開始しました」というメッセージが表示された Chrome のアドレスバーのスクリーンショット

サンドボックス化された iframe

文字列をコードとして評価する必要があり、DOM 環境( コンテンツ スクリプトを使用する)場合は、 サンドボックス化された iframe を使用する方法です。拡張機能は以下に対応していません 安全上の対策として、デフォルトで eval() に設定されています。悪意のあるコードがユーザーの安全を リスクにさらされています。しかし、既知の安全な環境でのみコードが実行される ウェブ全体からサンドボックス化された iframe など リスクも大幅に軽減されますこの文脈において、コンテンツ セキュリティ eval の使用をブロックするポリシーを解除して、任意の あります。

カバーされていないユースケースがある場合は、お気軽にお問い合わせください。 chromium-extensions メーリング リストを使ってフィードバックをもらったり ワンストップ サポートにガイダンスをリクエストするためのチケット

判定に同意できない場合

ポリシーの適用は微妙な場合があり、審査には手作業による入力が必要になります。 Chrome ウェブストア チームによる審査結果の変更に同意することがあります。条件 審査に誤りがあると思われる場合は、不承認に対して再審査を請求できます ワンストップ サポートを使用する