26.02.2023, 09:43
OK, damit habe ich mich noch nie beschäftigt (und das wird auch so bleiben ;-) Ich habe mal ChatGPT gefragt und da wird deine Erkenntnis bestätigt.
Ich habe gefragt:
Angenommen man würde ein Popup aus einem Addon (Chrome) öffnen wollen, funktioniert Inlinescripting?
Antwort:
Ja, grundsätzlich kann Inline-Scripting auch in Chrome-Erweiterungen (Add-ons) verwendet werden. Allerdings gibt es einige Einschränkungen und Best Practices zu beachten.
Chrome-Erweiterungen haben in der Regel eine Content-Sicherheitsrichtlinie (Content Security Policy, CSP), die steuert, welche Ressourcen eine Erweiterung laden und ausführen kann. Diese Richtlinie kann das Laden von Inline-Scripting einschränken oder verbieten.
Eine Möglichkeit, dies zu umgehen, besteht darin, das Inline-Scripting in eine externe JavaScript-Datei auszulagern und diese Datei in der Manifestdatei der Erweiterung als erlaubte Ressource anzugeben.
Eine andere Möglichkeit besteht darin, das Inline-Scripting mit dem unsafe-inline-Schlüsselwort in der CSP zu erlauben. Dies sollte jedoch vermieden werden, da dies ein potenzielles Sicherheitsrisiko darstellt.
Insgesamt empfehle ich, die Chrome-Erweiterungs-Dokumentation zur CSP zu lesen und sicherzustellen, dass Sie die Best Practices einhalten, um sicherzustellen, dass Ihr Add-on sicher und zuverlässig ist.
Mein Tipp:
Wenn du weiterführende Fragen hast (die hier nicht beantwortet werden), versuche doch mit ChatGPT das Problem zu lösen. Ggf. schreibt der Bot dir sogar den kompletten Code
Ich habe gefragt:
Angenommen man würde ein Popup aus einem Addon (Chrome) öffnen wollen, funktioniert Inlinescripting?
Antwort:
Ja, grundsätzlich kann Inline-Scripting auch in Chrome-Erweiterungen (Add-ons) verwendet werden. Allerdings gibt es einige Einschränkungen und Best Practices zu beachten.
Chrome-Erweiterungen haben in der Regel eine Content-Sicherheitsrichtlinie (Content Security Policy, CSP), die steuert, welche Ressourcen eine Erweiterung laden und ausführen kann. Diese Richtlinie kann das Laden von Inline-Scripting einschränken oder verbieten.
Eine Möglichkeit, dies zu umgehen, besteht darin, das Inline-Scripting in eine externe JavaScript-Datei auszulagern und diese Datei in der Manifestdatei der Erweiterung als erlaubte Ressource anzugeben.
Eine andere Möglichkeit besteht darin, das Inline-Scripting mit dem unsafe-inline-Schlüsselwort in der CSP zu erlauben. Dies sollte jedoch vermieden werden, da dies ein potenzielles Sicherheitsrisiko darstellt.
Insgesamt empfehle ich, die Chrome-Erweiterungs-Dokumentation zur CSP zu lesen und sicherzustellen, dass Sie die Best Practices einhalten, um sicherzustellen, dass Ihr Add-on sicher und zuverlässig ist.
Mein Tipp:
Wenn du weiterführende Fragen hast (die hier nicht beantwortet werden), versuche doch mit ChatGPT das Problem zu lösen. Ggf. schreibt der Bot dir sogar den kompletten Code