Для последних версий Chrome (46+) текущий ответ больше не верен. unsafe-inline все еще не имеет эффекта (в тегах заголовка манифеста и в meta), но в документации вы можете использовать описанную здесь здесь , чтобы расслабить ограничение .

Использование хэшей для

Результат:

Дальнейшие исследования

Я также опробовал установку применимой директивы в теге meta вместо манифеста. Хотя CSP, указанный в сообщении консоли, включал содержимое тега, он не выполнил встроенный скрипт (в Chrome 53).

new background.html:

Результат:

Приложение: Генерация хэшей

Вот два метода генерации хэшей:

1. Python ( передайте JS на stdin, проведите его где-то еще):

import hashlib
import base64
import sys

def hash(s):
    hash = hashlib.sha256(s.encode()).digest()
    encoded = base64.b64encode(hash)
    return encoded

contents = sys.stdin.read()
print(hash(contents))

2. В JS, используя Стэнфордскую библиотеку криптоваторов в Javascript :

var sjcl = require('sjcl');
// Generate base64-encoded SHA256 for given string.
function hash(s) {
  var hashed = sjcl.hash.sha256.hash(s);
  return sjcl.codec.base64.fromBits(hashed);
}

Убедитесь, что при хэшировании встроенных скриптов включено все содержимое тега скрипта (включая все ведущие / завершающие пробелы). Если вы хотите включить это в свои сборки, вы можете использовать что-то вроде cheerio , чтобы получить соответствующие разделы. В общем случае для любого html вы можете:

var $ = cheerio.load(html);
var csp_hashes = $('script')
  .map((i, el) => hash($(el).text())
  .toArray()
  .map(h => `'sha256-${h}'`)
  .join(' ');
var content_security_policy = `script-src 'self' 'unsafe-eval' ${csp_hashes}; object-src 'self'`;

Это метод, используемый в hash-csp , плагин gulp для генерации хэшей.