Команда Mozilla отключила мое дополнение из-за политики безопасности контента - как правильно установить манифест?

Question

У меня есть аддон под названием Numov (приложение Vanilla JS), который будет кормить пользователя новыми фильмами. Когда пользователь нажимает на миниатюру, появляется окно с трейлером этого mov ie. Раньше команда Mozilla не беспокоилась о моей настройке манифеста, а именно:

"content_security_policy": "script-sr c 'self' https://youtube.com https://www.youtube.com https://s.ytimg.com https://ytimg.com; object-sr c 'self' "

Но только вчера, когда я обновил свое приложение до версии 2 (преобразовано в ReactJS), я не знаю, полностью ли они изменили свои правила; они отключили мой аддон из-за этого CSP. Поэтому я попытался удалить его и протестировал локально, как и ожидалось, он не позволит мне связаться с YouTube, поскольку я удалил этот параметр в своем манифесте.

Так что мне теперь делать / добавлять с моим файлом манифеста?

Кстати, я могу дать вам ссылку на веб-версию приложения, но она не воспроизведет ошибку, потому что она должна быть сначала установлена ​​в вашем браузере Firefox.

Это ссылка аддона: https://addons.mozilla.org/en-US/firefox/addon/numov/

Answer 1

Проблема в том, что расширения не должны загружать и выполнять удаленно javascript. Но политика безопасности вашего расширения гласит, что она позволяет javascript загружаться и выполняться с этих четырех доменов youtube.

В зависимости от того, какие API youtube вы используете, вам необходимо локально включить эти javascript файлы в вашем комплекте расширений. После этого вам необходимо удалить эти четыре записи из вашей политики безопасности контента.

Дополнительную информацию о требованиях Политики безопасности контента Mozilla для расширений можно найти здесь: https://developer.mozilla.org/en-US/docs/Mozilla/Add-ons/WebExtensions/Content_Security_Policy#Default_content_security_policy