前言:

Cordova不支持内联事件,所以点击事件必须提取到js里面.
以下是从官网摘抄下来,希望对您有所帮助

登录后复制

为了缓解大量潜在的跨站点脚本问题，chrome的扩展系统已经纳入了内容安全策略（csp）的一般概念。这引入了一些相当严格的策略，默认情况下将使扩展更加安全，并为您提供了创建和实施管理可由扩展和应用程序加载和执行的内容类型的规则的功能。

一般来说，CSP作为黑客/白名单机制，用于扩展程序加载或执行的资源。为您的扩展定义合理的策略，您可以仔细考虑扩展所需的资源，并要求浏览器确保这些资源是您的扩展程序可以访问的唯一资源。这些策略提供超出您的扩展请求的主机权限的安全性; 它们是一个额外的保护层，而不是替代。

在网络上，这样的策略是通过HTTP头或元素来定义的。在Chrome的扩展系统中，两者都不是一个合适的机制。相反，扩展的策略是通过扩展名的manifest.json文件定义的，如下所示：

{ 
   … 
   “content_security_policy”：“[POLICY STRING GOES HERE]” 
   …
}

登录后复制

有关CSP语法的完整详细信息，请参阅内容安全策略规范以及有关HTML5Rocks的“内容安全策略简介”一文。

默认策略限制

没有定义manifest_version软件包没有默认的内容安全策略。那些选择manifest_version 2，具有默认内容安全策略：

立即学习“前端免费学习笔记（深入）”；

script-src’self’; object-src’self’

此策略通过三种方式限制扩展和应用程序来增加安全性：

(1)评估和相关功能被禁用

以下代码不起作用：

警报（的eval（ “foo.bar.baz”））;

Trae国内版

国内首款AI原生IDE，专为中国开发者打造

815

查看详情

window.setTimeout（“alert（’hi’）”，10）; 
 window.setInterval（“alert（’hi’）”，10）; 
 new Function（“return foo.bar.baz”）;

登录后复制

评估这样的JavaScript字符串是一个常见的XSS攻击向量。相反，你应该编写如下代码：

alert（foo && foo.bar && foo.bar.baz）; 
window.setTimeout（function（）{alert（’hi’）;}，10）; 
window.setInterval（function（）{alert（’hi’）;}，10）; 
function（）{return foo && foo.bar && foo.bar.baz};

登录后复制

(2)内联JavaScript不会被执行

内联JavaScript不会被执行。此限制禁止内嵌块和内联事件处理程序（例如）。

第一个限制通过使您不小心执行恶意第三方提供的脚本来消除大量的跨站点脚本攻击。但是，它需要您将代码写入内容与行为之间的干净分离（您当然应该做到这一点）对吗？一个例子可能使这更清楚。您可能会尝试编写一个浏览器操作的弹出窗口作为单个popup.html包含：

<！doctype html> 
      My Awesome Popup！ 
       function awesome（）{ 
         //做某事真棒！ 
       }
   function totalAwesome（）{
     //做某事真棒！
   }
  函数clickHandler（element）{
     setTimeout（ “awesome（）;getherAwesome（）” ，1000）;
   }
   function main（）{
     //初始化工作在这里。
   }
 </ SCRIPT>

登录后复制

点击awesomeness！