Chrome நீட்டிப்பு மேனிஃபெஸ்ட் V3 இல் உள்ள உள்ளடக்கப் பாதுகாப்புக் கொள்கைச் சிக்கல்களைத் தீர்க்கிறது

Chrome நீட்டிப்பு மேனிஃபெஸ்ட் V3 இல் உள்ள உள்ளடக்கப் பாதுகாப்புக் கொள்கைச் சிக்கல்களைத் தீர்க்கிறது
Chrome நீட்டிப்பு மேனிஃபெஸ்ட் V3 இல் உள்ள உள்ளடக்கப் பாதுகாப்புக் கொள்கைச் சிக்கல்களைத் தீர்க்கிறது
Daniel Marino
திங்கள், 18 நவம்பர், 2024 ’அன்று’ முற்பகல் 11:47:23

மேனிஃபெஸ்ட் V3 நீட்டிப்புகளில் உள்ள உள்ளடக்கப் பாதுகாப்புக் கொள்கைப் பிழைகளைச் சமாளித்தல்

Chrome நீட்டிப்பை உருவாக்குவது ஒரு அற்புதமான திட்டமாக இருக்கலாம், ஆனால் இது பெரும்பாலும் தனித்துவமான சவால்களுடன் வருகிறது-குறிப்பாக Manifest V3 இல் சமீபத்திய புதுப்பிப்புகளுடன். டெவலப்பர்கள் எதிர்கொள்ளும் ஒரு பொதுவான தடையை உள்ளமைப்பது உள்ளடக்க பாதுகாப்பு கொள்கை (CSP) சரியாக. பாதுகாப்பைப் பேணுவதற்கு இந்தக் கொள்கை இன்றியமையாதது, இருப்பினும் இது எதிர்பாராத பிழைகளை அறிமுகப்படுத்தலாம், இது நீட்டிப்பை நோக்கமாகச் செயல்படவிடாமல் தடுக்கும். 🚧

செல்லுபடியாகாத CSP உள்ளமைவு காரணமாக Chrome இணைய அங்காடியால் அதை நிராகரிப்பதற்கு, நீட்டிப்பை முழுமையாக்குவதற்கு நாட்கள் செலவழிப்பதை கற்பனை செய்து பாருங்கள். `api.example.com` இல் உள்ள API எண்ட்பாயிண்ட் போன்ற வெளிப்புற APIகளுடன் உங்கள் நீட்டிப்பு பாதுகாப்பாகத் தொடர்புகொள்ள வேண்டியிருக்கும் போது இந்தச் சிக்கல் குறிப்பாக ஏமாற்றமளிக்கும். அத்தகைய வெளிப்புற அணுகலை அனுமதிக்க CSP ஐ அமைக்க முயற்சிப்பது நேரடியானதாக தோன்றலாம், ஆனால் சமீபத்திய மேனிஃபெஸ்ட் V3 மாற்றங்கள் இந்த அமைப்பை கணிசமாக சிக்கலாக்கும்.

இந்த இடுகையில், மேனிஃபெஸ்ட் V3 இல் CSP சரிபார்ப்புப் பிழைகள் மூலம் டெவலப்பரின் பயணத்தில் மூழ்குவோம். சோதனை மற்றும் பிழை மூலம், `content_security_policy` புலத்தை சரியாக வடிவமைக்க பல்வேறு முயற்சிகளைக் காண்பீர்கள். ஒவ்வொரு முயற்சியும் பொதுவான பிழைகள் மற்றும் அதிகாரப்பூர்வ ஆவணங்களிலிருந்து பெறப்பட்ட பயனுள்ள நுண்ணறிவுகளுடன், தீர்வுக்கு ஒரு படி நெருக்கமாக பிரதிபலிக்கிறது.

நீங்கள் ஒரு AdBlocker, ஒரு உற்பத்தித்திறன் கருவி அல்லது வேறு ஏதேனும் நீட்டிப்பை உருவாக்கினாலும், இந்த வழிகாட்டி CSP தேவைகளை தெளிவுபடுத்தும், சரிபார்ப்பு பிழைகளை சரிசெய்வதற்கு உதவும், மேலும் உங்கள் நீட்டிப்பு பாதுகாப்பாகவும் இணக்கமாகவும் இருப்பதை உறுதிசெய்யும். இந்த சிஎஸ்பி தடைகளை கடக்க வேண்டும் என்ற தீவிர முயற்சியில் இறங்குவோம்!

கட்டளை பயன்பாடு மற்றும் விளக்கத்தின் எடுத்துக்காட்டு
host_permissions மேனிஃபெஸ்ட் V3 இல் குறிப்பிட்ட வெளிப்புற டொமைன்களுக்கான அனுமதிகளைக் கோர Chrome நீட்டிப்பை அனுமதிக்கிறது, எ.கா., "host_permissions": ["https://api.example.com/*"]. Chrome இணைய அங்காடியின் பாதுகாப்புத் தேவைகளைப் பொறுத்து வெளிப்புற ஆதாரங்களுக்கான பாதுகாப்பான அணுகலை இது செயல்படுத்துகிறது.
content_security_policy நீட்டிப்பு ஏற்றக்கூடிய ஆதாரங்களைக் கட்டுப்படுத்த மேனிஃபெஸ்டில் பாதுகாப்பு விதிகளை வரையறுக்கிறது. மேனிஃபெஸ்ட் V3 இல், நீட்டிப்புகளுக்கான சாண்ட்பாக்ஸ் கொள்கையைக் குறிப்பிடுவது இதில் அடங்கும், எ.கா., "content_security_policy": { "extension_pages": "script-src 'self'; object-src 'self';" }.
fetch HTTP கோரிக்கைகளைச் செய்ய JavaScript இல் பயன்படுத்தப்படும் ஒரு முறை, குறிப்பாக API இலிருந்து தரவைப் பெறுவதற்கு சேவைப் பணியாளர்களுக்குப் பயன்படும். இங்கே, வெளிப்புற URL இலிருந்து தரவைப் பாதுகாப்பாகப் பெற இது பயன்படுகிறது, எ.கா., பெறுதல்('https://api.example.com/data').
chrome.runtime.onInstalled.addListener Registers an event that runs when the Chrome extension is installed, enabling developers to initialize settings or perform setup tasks, e.g., chrome.runtime.onInstalled.addListener(() =>Chrome நீட்டிப்பு நிறுவப்படும்போது இயங்கும் நிகழ்வைப் பதிவுசெய்கிறது, டெவலப்பர்கள் அமைப்புகளைத் தொடங்க அல்லது அமைவுப் பணிகளைச் செய்ய உதவுகிறது, எ.கா., chrome.runtime.onInstalled.addListener(() => {...}).
chrome.runtime.onMessage.addListener வெவ்வேறு கூறுகளை (எ.கா., சேவை பணியாளர் மற்றும் உள்ளடக்க ஸ்கிரிப்ட்கள்) தொடர்புகொள்வதற்கு, நீட்டிப்பிற்குள் உள்ள செய்திகளைக் கேட்கிறது. இங்கே, இது API அழைப்புகளைத் தூண்டுவதற்கு "fetchData" கட்டளையைச் செயல்படுத்துகிறது.
sendResponse Chrome நீட்டிப்பு செய்தி அனுப்பும் அமைப்பில் செய்தி அனுப்புபவருக்கு மறுமொழியை அனுப்புகிறது, அழைப்பாளருக்கு API தரவை வழங்க இங்கே பயன்படுத்தப்படுகிறது. செய்தி அடிப்படையிலான கட்டமைப்பில் ஒத்திசைவற்ற பதில்களை நிர்வகிக்க இது முக்கியமானது.
fetchMock யூனிட் சோதனைகளில் பெறுதல் கோரிக்கைகளை கேலி செய்ய ஒரு சோதனை நூலகம். இது API இலிருந்து பதில்களை உருவகப்படுத்த உங்களை அனுமதிக்கிறது, வலுவான சோதனை காட்சிகளை இயக்குகிறது, எ.கா., fetchMock.get('https://api.example.com/data', ...).
expect சோதனை முடிவுகளைச் சரிபார்க்க Chai உறுதிப்படுத்தல் நூலகத்திலிருந்து ஒரு கட்டளை பயன்படுத்தப்படுகிறது. API அழைப்புகள் எதிர்பார்க்கப்படும் பண்புகளைத் திருப்பித் தருகின்றன, சோதனை நம்பகத்தன்மையை மேம்படுத்துகின்றன, எ.கா., expect(data)to.have.property('key') என்பதை உறுதிப்படுத்த இது இங்கே பயன்படுத்தப்படுகிறது.
allow-scripts சாண்ட்பாக்ஸ் CSP கட்டளையில் உள்ள அனுமதிகளை வரையறுக்கிறது, ஸ்கிரிப்ட்களை மட்டுமே இயக்க அனுமதிக்கிறது. எடுத்துக்காட்டாக, "சாண்ட்பாக்ஸ்": "சாண்ட்பாக்ஸ் அனுமதி-ஸ்கிரிப்டுகள்;" நீட்டிப்புக்குள் சாண்ட்பாக்ஸ் செய்யப்பட்ட iframe இல் கட்டுப்படுத்தப்பட்ட ஸ்கிரிப்ட் செயல்படுத்தலை செயல்படுத்துகிறது.
return true Chrome செய்தியிடலின் சூழலில், இது ஒத்திசைவற்ற செயல்களுக்காக செய்தி மறுமொழி சேனலைத் திறந்து வைக்கிறது, தாமதத்திற்குப் பிறகு கேட்பவர் பதில்களை அனுப்ப அனுமதிக்கிறது. நீட்டிப்புகளில் API அழைப்பு நேரங்களை நிர்வகிப்பதில் அவசியம்.

Chrome நீட்டிப்புகளுக்கான உள்ளடக்கப் பாதுகாப்புக் கொள்கை உள்ளமைவில் முக்கிய கூறுகளைப் புரிந்துகொள்வது

வழங்கப்பட்டுள்ள எடுத்துக்காட்டு ஸ்கிரிப்டுகள் கட்டமைப்பதில் உள்ள பொதுவான சவாலை சமாளிக்கும் நோக்கம் கொண்டது உள்ளடக்க பாதுகாப்பு கொள்கை (CSP) Chrome நீட்டிப்புகளுக்கான அமைப்புகள், குறிப்பாக மேனிஃபெஸ்ட் V3 இல். மேனிஃபெஸ்ட் கோப்பில் முதல் உள்ளமைவு அணுகுமுறை பயன்படுத்துகிறது ஹோஸ்ட்_அனுமதிகள் பண்பு. இந்த கட்டளை நீட்டிப்பு நேரடியாக அணுகக்கூடிய வெளிப்புற டொமைன்களைக் குறிப்பிடுகிறது, இந்த விஷயத்தில், "https://api.example.com/*." இதை மேனிஃபெஸ்டில் சேர்ப்பதன் மூலம், வெளிப்புறத் தரவைப் பெறுவதைச் சார்ந்துள்ள அம்சங்களுக்கான அவசியமான வெளிப்புற API உடன் பாதுகாப்பாகத் தொடர்புகொள்ள எங்கள் நீட்டிப்பு திட்டமிட்டுள்ளது என்பதை Chrome க்குத் தெரிவிக்கிறோம். இரண்டாவது அத்தியாவசிய உறுப்பு, தி உள்ளடக்க_பாதுகாப்பு_கொள்கை, நீட்டிப்பு ஏற்ற அனுமதிக்கப்படும் ஆதாரங்களைக் கட்டுப்படுத்துகிறது. Chrome இன் கடுமையான பாதுகாப்புத் தேவைகளுக்கு இணங்க, சாண்ட்பாக்ஸ் செய்யப்பட்ட பக்கங்கள் போன்ற குறிப்பிட்ட நீட்டிப்பு சூழல்களில் எந்த ஸ்கிரிப்டுகள் அனுமதிக்கப்படுகின்றன என்பதை இங்கே வரையறுக்கிறது.

பின்னணி சேவை பணியாளர் ஸ்கிரிப்ட், background.js இல் வழங்கப்பட்ட எடுத்துக்காட்டு ஸ்கிரிப்ட், வெளிப்புற API ஐ அழைக்கும் செயல்பாட்டை மேம்படுத்துகிறது. API களில் இருந்து தரவை மீட்டெடுப்பதற்கு அவசியமான ஒத்திசைவற்ற HTTP கோரிக்கைகளைக் கையாள இந்தச் செயல்பாடு JavaScript பெறுதல் கட்டளையைப் பயன்படுத்துகிறது. API கோரிக்கை தேவைப்படும்போது, ​​செயல்பாடு நியமிக்கப்பட்ட இறுதிப்புள்ளியுடன் இணைக்கப்பட்டு தரவை வழங்குகிறது. இந்த செயல்பாடு கவலைகளை சுத்தமாக பிரித்து பராமரிக்க உதவுகிறது, அங்கு ஒவ்வொரு செயல்பாடும் ஒரு செயலைச் செய்கிறது, குறியீட்டை மட்டு மற்றும் மீண்டும் பயன்படுத்தக்கூடியதாக மாற்றுகிறது. இந்த செயல்முறையை எளிதாக்க, ஸ்கிரிப்ட் பயன்படுத்துகிறது chrome.runtime.onMessage.addListener "fetchData" போன்ற குறிப்பிட்ட கட்டளைகளைக் கேட்க, நீட்டிப்பின் பிற கூறுகளிலிருந்து, கோட்பேஸின் பல்வேறு பகுதிகளுக்கு இடையே பயனுள்ள தகவல்தொடர்புகளை உறுதி செய்கிறது.

உதாரணம் மற்றொரு முக்கியமான அம்சத்தையும் உள்ளடக்கியது: பிழை கையாளுதல். ஸ்கிரிப்ட் API அழைப்பை ஒரு முயற்சி-பிடிப்பு பிளாக்கில் மூடுகிறது, இது எந்த நெட்வொர்க் சார்ந்த செயல்பாட்டிலும் முக்கியமானது. API கோரிக்கை தோல்வியுற்றால், தவறான URL அல்லது நெட்வொர்க் சிக்கல் போன்ற சாத்தியமான சிக்கல்களைப் பற்றி டெவலப்பருக்குத் தெரிவிக்க ஸ்கிரிப்ட் ஒரு பிழைச் செய்தியை பதிவு செய்கிறது. இந்த முறையில் பிழைகளைக் கையாள்வது நீட்டிப்பு வலுவாக இருப்பதையும் ஒரு பிணைய கோரிக்கை தோல்வியுற்றால் முழுவதுமாக தோல்வியடையாமல் இருப்பதையும் உறுதி செய்கிறது. முழு நீட்டிப்பின் செயல்பாட்டையும் சீர்குலைப்பதற்குப் பதிலாக பிழைகள் தனிமைப்படுத்தப்பட்டு அழகாகக் கையாளப்படுவதால், இது மென்மையான பயனர் அனுபவத்தை வழங்குகிறது.

கடைசியாக, குறியீடு தரத்தை உறுதிப்படுத்த, அலகு சோதனைகளின் தொகுப்பு இந்த உள்ளமைவுகளின் ஒருமைப்பாட்டைச் சரிபார்க்கிறது. சோதனை கட்டமைப்பைப் பயன்படுத்தி, யூனிட் டெஸ்ட் ஸ்கிரிப்ட், ஏபிஐ மறுமொழிகளை உருவகப்படுத்த, ஃபெட்ச்மாக் நூலகத்தைப் பயன்படுத்துகிறது, இதனால் சோதனைக்கான கட்டுப்படுத்தப்பட்ட சூழலை வழங்குகிறது. இந்தச் சோதனைகள், CSP விதிகள் சரியான முறையில் கட்டமைக்கப்பட்டுள்ளன என்பதைச் சரிபார்க்கிறது, நீட்டிப்பு வெளிப்புற ஆதாரங்களைப் பாதுகாப்பாகவும் நோக்கமாகவும் அணுக முடியுமா என்பதை உறுதிப்படுத்துகிறது. இந்தச் சோதனைகள் ஒவ்வொன்றும் Chrome பதிப்புகள் முழுவதும் செயல்படுவதையும், CSP விதிகள் Chrome இணைய அங்காடியின் பாதுகாப்புக் கொள்கைகளுடன் இணக்கமாக இருப்பதையும், பல காட்சிகளின் கீழ் நீட்டிப்பின் செயல்பாட்டைச் சரிபார்க்க உதவுகிறது. இந்த சோதனைத் தொகுப்பைக் கொண்டிருப்பதன் மூலம், டெவலப்பர்கள் தங்கள் நீட்டிப்பை நம்பிக்கையுடன் பதிவேற்றலாம், இது Chrome இன் பாதுகாப்புத் தரங்களுடன் இணங்குகிறது என்பதை அறிந்து, பொதுவான "'content_security_policy'க்கான தவறான மதிப்பு" பிழையைத் தவிர்க்கலாம். 🛠️

தீர்வு 1: Chrome நீட்டிப்புக்கான உள்ளடக்கப் பாதுகாப்புக் கொள்கையைப் புதுப்பித்தல் (மேனிஃபெஸ்ட் V3)

தனியான ஸ்கிரிப்ட் பாதுகாப்புக் கொள்கை அமைப்புடன் manifest.jsonக்கான உள்ளமைவு தீர்வு

{
  "manifest_version": 3,
  "name": "AdBlocker Upsia",
  "version": "1.0",
  "permissions": ["storage"],
  "host_permissions": ["https://api.example.com/*"],
  "content_security_policy": {
    "extension_pages": "script-src 'self'; object-src 'self';",
    "sandbox": "sandbox allow-scripts; script-src 'self' https://api.example.com;"
  }
}

தீர்வு 2: வெளிப்புற API அழைப்புகளுக்கு பின்னணி சேவை பணியாளரைப் பயன்படுத்துதல்

சேவைப் பணியாளருக்குள் பாதுகாப்பான API அழைப்புகளைச் செய்வதற்கான மாடுலர் ஸ்கிரிப்ட்

// background.js
chrome.runtime.onInstalled.addListener(() => {
  console.log("Service Worker registered");
});

// Function to make API call securely
async function fetchDataFromAPI() {
  try {
    const response = await fetch('https://api.example.com/data', {
      method: 'GET',
      headers: { 'Content-Type': 'application/json' }
    });
    const data = await response.json();
    console.log("API data received:", data);
    return data;
  } catch (error) {
    console.error("API fetch error:", error);
  }
}

// Call API when a message is received
chrome.runtime.onMessage.addListener((message, sender, sendResponse) => {
  if (message.command === "fetchData") {
    fetchDataFromAPI().then(data => sendResponse({ data }));
    return true; // keeps the response channel open
  }
});

தீர்வு 3: யூனிட் டெஸ்ட் சரிபார்ப்புடன் CSP உள்ளமைவைச் சோதித்தல்

உள்ளடக்கப் பாதுகாப்புக் கொள்கை செயல்பாட்டைச் சரிபார்ப்பதற்கான அலகு சோதனைகள்

// test/cspTest.js
const { expect } = require('chai');
const { describe, it } = require('mocha');
const fetchMock = require('fetch-mock');

describe("CSP Configuration Tests", () => {
  it("should allow secure API call with valid CSP", async () => {
    fetchMock.get('https://api.example.com/data', { status: 200, body: { key: "value" } });

    const data = await fetchDataFromAPI();
    expect(data).to.have.property('key');
  });

  it("should throw error on invalid API call attempt", async () => {
    fetchMock.get('https://api.fake.com/data', 403);

    try {
      await fetchDataFromAPI();
    } catch (error) {
      expect(error).to.exist;
    }
  });
});

Chrome நீட்டிப்புகளில் வெளிப்புற API ஒருங்கிணைப்பிற்காக CSP ஐ உள்ளமைக்கிறது

உடன் வளரும் போது Chrome நீட்டிப்பு மேனிஃபெஸ்ட் V3, வெளிப்புற APIகளை பாதுகாப்பாக ஒருங்கிணைக்க, புதுப்பிக்கப்பட்ட உள்ளடக்கப் பாதுகாப்புக் கொள்கை (CSP) விதிகள் பற்றிய தெளிவான புரிதல் தேவை. மேனிஃபெஸ்ட் V3 பாதுகாப்பை மேம்படுத்த கடுமையான கொள்கைகளை அறிமுகப்படுத்தியது, ஆனால் இந்த மாற்றங்கள் சில அமைப்புகளை மிகவும் சவாலானதாக மாற்றியுள்ளன, குறிப்பாக வெளிப்புற APIகளுடன் இணைக்கும்போது https://api.example.com. நீட்டிப்புகள் இந்த புதிய வழிகாட்டுதல்களைப் பின்பற்ற வேண்டும், பாதுகாப்பு மற்றும் செயல்பாடு இரண்டையும் சமநிலைப்படுத்துகிறது. சரியான உள்ளமைவு இல்லாமல், சமர்ப்பிப்பின் போது நீட்டிப்பு பிழைகளைத் தூண்டலாம், அதாவது "'content_security_policy'க்கான தவறான மதிப்பு", இது CSP தொடரியல் அல்லது அனுமதிகளில் சிக்கலைக் குறிக்கிறது.

நீட்டிப்பு ஏற்றக்கூடிய ஆதாரங்களைக் கட்டுப்படுத்துவதில் அல்லது அனுமதிப்பதில் CSP இன் பங்கு இங்கே ஒரு முக்கிய அங்கமாகும். தரவுக்கான வெளிப்புற API ஐ அழைப்பது போன்ற டைனமிக் உள்ளடக்கத்தைப் பயன்படுத்தும் நீட்டிப்புகள் அனுமதிக்கப்பட்ட டொமைன்களை நேரடியாகக் குறிப்பிட வேண்டும் host_permissions களம். நியமிக்கப்பட்ட URLகளுடன் பாதுகாப்பாக இணைக்க நீட்டிப்பை இந்தப் பதிவு அங்கீகரிக்கிறது. கூடுதலாக, CSP உத்தரவுகளைப் பிரிப்பது—சென்சிட்டிவ் ஸ்கிரிப்டுகளுக்கான சாண்ட்பாக்ஸ் செய்யப்பட்ட சூழலைக் குறிப்பிடுவது போன்றவை—மேனிஃபெஸ்ட் V3 இன் புதுப்பிக்கப்பட்ட கொள்கைகளுடன் நீட்டிப்பின் இணக்கத்தை மேம்படுத்தலாம். செயல்படுத்துகிறது object-src மற்றும் script-src வெளிப்புற மூலங்களிலிருந்து எந்த வகையான உள்ளடக்கத்தை ஏற்றலாம் என்பதை டெவலப்பர்கள் வரையறுக்க கொள்கைகள் உதவுகிறது.

மற்றொரு முக்கியமான அம்சம் இதில் அடங்கும் background service workers. மேனிஃபெஸ்ட் V3 ஆனது பின்னணிப் பக்கங்களை சேவைப் பணியாளர்களால் மாற்றியமைக்கிறது, இது நீடித்த பின்புல அணுகல் தேவையில்லாமல் API களுடன் பாதுகாப்பான, தற்போதைய தொடர்பைப் பராமரிக்க நீட்டிப்பை அனுமதிக்கிறது. சேவை பணியாளரைப் பயன்படுத்துவதன் மூலம், நீங்கள் API அழைப்புகளை ஒத்திசைவற்ற முறையில் நிர்வகிக்கலாம் மற்றும் பதில்களை திறம்பட கையாளலாம். இந்த அணுகுமுறை மேனிஃபெஸ்ட் V3 இன் பாதுகாப்பு மேம்பாடுகளுடன் ஒத்துப்போவது மட்டுமல்லாமல், சேவைத் தொழிலாளர்கள் குறைவான வளங்களைப் பயன்படுத்துவதால், நீட்டிப்பின் செயல்திறனை மேம்படுத்துகிறது. இந்த நுட்பங்களைச் செயல்படுத்துவது, Chrome இன் சமீபத்திய தரநிலைகளுடன் இணங்கக்கூடிய பாதுகாப்பான மற்றும் திறமையான நீட்டிப்புகளை உருவாக்க டெவலப்பர்களை அனுமதிக்கிறது. 🌐

CSP மற்றும் Chrome நீட்டிப்பு மேனிஃபெஸ்ட் V3 பற்றிய பொதுவான கேள்விகள்

  1. நோக்கம் என்ன host_permissions மேனிஃபெஸ்ட் V3 இல்?
  2. தி host_permissions மேனிஃபெஸ்ட் V3 இல் உள்ள புலம் எந்தெந்த டொமைன்களை நீட்டிப்பு அணுகலாம் என்பதைக் குறிப்பிடுகிறது. வெளிப்புற API தொடர்புக்கு இது அவசியம்.
  3. "'content_security_policy'க்கான தவறான மதிப்பு" பிழையைத் தவிர்ப்பது எப்படி?
  4. உங்கள் content_security_policy மேனிஃபெஸ்ட் V3 இன் CSP விதிகளைப் பின்பற்றி, சரியாக வரையறுக்கப்பட்டுள்ளது host_permissions வெளிப்புற டொமைன்களுக்கு.
  5. சேவைப் பணியாளர்கள் என்றால் என்ன, அவர்கள் ஏன் மேனிஃபெஸ்ட் V3 இல் முக்கியமானவர்கள்?
  6. பின்னணியில் தொடர்ந்து இயங்காமல் API அழைப்புகள் போன்ற பின்னணி பணிகளைக் கையாள, மேனிஃபெஸ்ட் V3 இல் சேவைப் பணியாளர்கள் பயன்படுத்தப்படுகிறார்கள். இது வளங்களை மேம்படுத்துகிறது மற்றும் பாதுகாப்பை மேம்படுத்துகிறது.
  7. மேனிஃபெஸ்ட் V3 இல் வெளிப்புற மூலத்திலிருந்து ஸ்கிரிப்ட்களை ஏற்ற முடியுமா?
  8. வெளிப்புற மூலத்திலிருந்து நேரடியாக ஸ்கிரிப்ட்களை ஏற்றுவது அனுமதிக்கப்படாது. பயன்படுத்தவும் fetch அதற்கு பதிலாக தரவை மீட்டெடுக்க சேவை ஊழியர்களுக்குள் கட்டளைகள்.
  9. நான் என்ன சேர்க்க வேண்டும் content_security_policy வெளிப்புற API அழைப்புகளுக்கு?
  10. வரையறுக்கவும் script-src மற்றும் object-src உள்ள உத்தரவுகள் content_security_policy, மற்றும் தேவையான URLகளைச் சேர்க்கவும் host_permissions.
  11. மேனிஃபெஸ்ட் V3க்கான எனது CSP அமைப்பை எவ்வாறு சோதிப்பது?
  12. CSP திட்டமிட்டபடி செயல்படுகிறதா என்பதைச் சரிபார்க்க Chrome இன் டெவலப்பர் கருவிகளைப் பயன்படுத்தவும் மற்றும் வளர்ச்சியின் போது ஏற்படும் பிழைகளை பிழைத்திருத்தவும்.
  13. CSP பிழைகளை நேரடியாக Chrome இல் பிழைத்திருத்த வழி உள்ளதா?
  14. ஆம், Chrome DevToolsஐத் திறந்து, கன்சோல் தாவலுக்குச் சென்று, எந்தக் கொள்கைகள் தவறாக உள்ளமைக்கப்பட்டுள்ளன என்பதைக் குறிக்கும் CSP பிழைகளைச் சரிபார்க்கவும்.
  15. என்ன sandbox உத்தரவு, அதை நான் எப்போது பயன்படுத்த வேண்டும்?
  16. தி sandbox பாதுகாப்பான சூழலில் உள்ளடக்கத்தை தனிமைப்படுத்த உத்தரவு பயன்படுத்தப்படுகிறது. டைனமிக் உள்ளடக்கத் தேவைகள் கொண்ட நீட்டிப்புகளுக்கு இது பெரும்பாலும் அவசியம்.
  17. மேனிஃபெஸ்ட் V3 இன்லைன் ஸ்கிரிப்ட்களை ஏன் அனுமதிக்கவில்லை?
  18. மேனிஃபெஸ்ட் V3 பாதுகாப்பை மேம்படுத்த இன்லைன் ஸ்கிரிப்ட்களை அனுமதிக்காது, தீங்கிழைக்கும் ஸ்கிரிப்ட்களை நீட்டிப்பிற்குள் செயல்படுத்துவதைத் தடுக்கிறது.
  19. மேனிஃபெஸ்ட் V3, V2 இலிருந்து வேறுபட்ட அனுமதிகளை எவ்வாறு கையாளுகிறது?
  20. மேனிஃபெஸ்ட் V3ஐ டெவலப்பர்கள் பயன்படுத்த வேண்டும் host_permissions மற்றும் பிற CSP உத்தரவுகள் அணுகல் தேவைகளை வெளிப்படையாக அறிவிக்க, பயனர் பாதுகாப்பை மேம்படுத்துகிறது.
  21. எப்படி செய்கிறது fetch மேனிஃபெஸ்ட் V3 இல் ஸ்கிரிப்ட்களை ஏற்றுவதில் இருந்து வேறுபட்டதா?
  22. தி fetch மேனிஃபெஸ்ட் V3 இல் தடைசெய்யப்பட்ட வெளிப்புற ஸ்கிரிப்ட்களை ஏற்றுவது போலல்லாமல், சேவை பணியாளர்களில் ஒத்திசைவற்ற முறையில் தரவை மீட்டெடுக்க இந்த முறை பயன்படுத்தப்படுகிறது.

Chrome நீட்டிப்பு CSP அமைவு பற்றிய இறுதி எண்ணங்கள்

கட்டமைக்கிறது உள்ளடக்க பாதுகாப்பு கொள்கை புதிய பாதுகாப்புத் தேவைகள் காரணமாக மேனிஃபெஸ்ட் V3க்கு துல்லியம் தேவைப்படுகிறது. CSP ஐப் பின்பற்றுவதன் மூலம் மற்றும் ஹோஸ்ட்_அனுமதிகள் நெறிமுறைகள், நீங்கள் APIகளை பாதுகாப்பாக ஒருங்கிணைத்து பொதுவான சரிபார்ப்பு பிழைகளைத் தடுக்கலாம். சிந்தனைமிக்க அணுகுமுறையுடன், Chrome நீட்டிப்பு டெவலப்பர்கள் பாதுகாப்பான, மிகவும் பயனுள்ள கருவிகளை உருவாக்க முடியும். 😊

தொடரியல் சரிபார்ப்பு முதல் வெவ்வேறு பதிப்புகளில் சோதனை வரை, ஒவ்வொரு படியும் உங்கள் நீட்டிப்பின் இணக்கத்தில் நம்பிக்கையை உருவாக்குகிறது. JSONஐச் சரிபார்க்கவும், உள்ளமைவுகளைச் சோதிக்கவும் மற்றும் Chrome இன் ஆவணங்களை மதிப்பாய்வு செய்யவும் நினைவில் கொள்ளுங்கள். உறுதியான அமைப்புடன், உங்கள் நீட்டிப்பு Chrome இணைய அங்காடிக்குத் தயாராகி, இன்றைய பாதுகாப்புத் தரநிலைகளைத் தடையின்றி சந்திக்கும். 🔒

குரோம் நீட்டிப்பு மேம்பாட்டிற்கான குறிப்புகள் மற்றும் கூடுதல் வாசிப்பு
  1. Chrome நீட்டிப்பு மேனிஃபெஸ்ட் V3 மற்றும் CSP அமைவு பற்றிய விரிவான வழிகாட்டுதல்களுக்கு, அதிகாரப்பூர்வ Chrome டெவலப்பர் ஆவணத்தைப் பார்க்கவும் Chrome நீட்டிப்புகள் மேனிஃபெஸ்ட் V3 கண்ணோட்டம் .
  2. Chrome நீட்டிப்புகளில் CSP உள்ளமைவு பிழைகளைத் தீர்ப்பதற்கான உதவிக்குறிப்புகளுக்கு, இந்த வழிகாட்டி நடைமுறை சரிசெய்தல் ஆலோசனையை வழங்குகிறது Chrome நீட்டிப்புகளுக்கான உள்ளடக்கப் பாதுகாப்புக் கொள்கை .
  3. மேனிஃபெஸ்ட் V3 இல் உள்ள CSP சிக்கல்களுக்கான சமூக நுண்ணறிவு மற்றும் பகிரப்பட்ட தீர்வுகளை GitHub இல் காணலாம் கூகுள் குரோம் டெவலப்பர் கிட்ஹப் .
  4. ஸ்டேக் ஓவர்ஃப்ளோவில் மேனிஃபெஸ்ட் வி3 மற்றும் சிஎஸ்பி உடனான தொழில்நுட்ப விவாதம் மற்றும் டெவலப்பர் அனுபவங்கள் நிஜ-உலக சிக்கல் தீர்க்கும் அணுகுமுறைகளை வழங்குகின்றன குரோம் எக்ஸ்டென்ஷன் ஸ்டாக் ஓவர்ஃப்ளோ விவாதங்கள் .