Oauth 如果响应类型为id\u令牌,gapi身份验证客户端将使用不安全的评估
当在chrome扩展中使用google javascript客户端库时,当响应类型为id_token时,需要“不安全评估”权限。有什么办法可以避免这种情况吗?上次我检查Chrome Extensions不支持JSAPI客户端库。即使是,我强烈建议你避免使用它 使用内置的chrome.identity API来处理oauth,然后启动自己的Google API调用更容易、更安全。在chrome扩展中使用eval()函数需要在manifest.json中声明“safe eval”权限,而不管该扩展中是否存在Goole Javascript客户端库 评估JavaScript。针对eval()及其相关项的策略,如setTimeout(字符串)、setInterval(字符串)和new Function(字符串) 可以通过将“不安全评估”添加到您的策略中来放松: “内容安全策略”:“脚本src'self”“不安全评估”;对象src'self” 但是,我们强烈建议不要这样做。这些功能是 臭名昭著的XSS攻击向量 有关详细信息,请参阅谷歌官方文档Oauth 如果响应类型为id\u令牌,gapi身份验证客户端将使用不安全的评估,oauth,google-api-client,Oauth,Google Api Client,当在chrome扩展中使用google javascript客户端库时,当响应类型为id_token时,需要“不安全评估”权限。有什么办法可以避免这种情况吗?上次我检查Chrome Extensions不支持JSAPI客户端库。即使是,我强烈建议你避免使用它 使用内置的chrome.identity API来处理oauth,然后启动自己的Google API调用更容易、更安全。在chrome扩展中使用eval()函数需要在manifest.json中声明“safe eval”权限,而不管该扩展中
.我不明白你到底想达到什么目的;在Chrome扩展中使用eval()函数需要在manifest.json中声明“unsafe eval”权限,而不管该扩展中是否存在Goole Javascript客户端库。也许你可以更深入地解释你的案例,并且有一个解决方案。我不使用eval,但gapi使用。