manifest v3 的 declarativenetrequest 不支持直接通过 extensionpath 重定向至扩展包内脚本文件(如 /scripts/app-8d620ab3.js),会触发 err_unsafe_redirect 错误;根本原因在于该重定向机制仅允许安全的、已声明的资源路径,且需满足严格的内容安全策略约束。
manifest v3 的 declarativenetrequest 不支持直接通过 extensionpath 重定向至扩展包内脚本文件(如 /scripts/app-8d620ab3.js),会触发 err_unsafe_redirect 错误;根本原因在于该重定向机制仅允许安全的、已声明的资源路径,且需满足严格的内容安全策略约束。
在 Chrome 扩展开发中,尤其是迁移到 Manifest V3 后,许多开发者会尝试使用 declarativeNetRequest.updateDynamicRules() 配合 redirect: { extensionPath: "..." } 来拦截并替换远程脚本(例如 CDN 上的 JS 文件)为本地打包的副本。但这一操作极易失败,并抛出类似以下错误:
GET https://d35aaqx5ub95lt.cloudfront.net/js/app-8d620ab3.js net::ERR_UNSAFE_REDIRECT
这不是代码书写错误,而是 Manifest V3 的明确安全限制:
✅ extensionPath 重定向仅对部分资源类型生效(如 document, sub_frame, stylesheet, image, font, object),但不支持 script 类型的重定向(Chrome 官方文档明确说明)。
✅ 即使你将脚本放入 web_accessible_resources 并正确声明 MIME 类型,script 类型的重定向仍被禁止——这是出于防止恶意脚本注入的核心安全设计。
正确做法:避免 script 重定向,改用其他可行方案
✅ 方案一:使用 webAccessibleResources + 动态注入(推荐)
将本地脚本声明为 web_accessible_resources,再通过 content script 动态创建 <script> 标签注入页面上下文(注意:注入时机需匹配目标脚本执行前):
// manifest.json
{
"web_accessible_resources": [{
"resources": ["scripts/app-8d620ab3.js", "scripts/806-b665410e.js"],
"matches": ["<all_urls>"],
"use_dynamic_url": false
}]
}// content-script.js(运行于页面上下文)
const scriptUrl = chrome.runtime.getURL("scripts/app-8d620ab3.js");
const script = document.createElement("script");
script.src = scriptUrl;
script.type = "module"; // 如需 ES 模块支持
document.head.appendChild(script);⚠️ 注意:此方式无法“替换”原始 <script src="..."> 请求本身,而是追加执行;若原始脚本有副作用(如全局变量覆盖、立即执行函数 IIFE),需确保注入顺序与依赖关系(可监听 document.readyState 或使用 MutationObserver 监控 script 标签插入)。
❌ 方案二:上传至可信 CDN(不推荐,仅作临时规避)
正如原问题答案所提:“上传文件到文件托管网站后即可工作”。这本质是绕过限制——将 redirect 指向一个 HTTPS 外部 URL(如 https://my-cdn.example.com/app-8d620ab3.js),因该 URL 符合 redirect.url 要求(HTTPS、同源或显式授权),故可成功。但该做法引入外部依赖、丧失离线能力、增加加载延迟与隐私风险,不应作为生产环境方案。
⚠️ 补充关键检查项
- 确保 extensionPath 值以 / 开头(如 "/scripts/app.js"),否则解析失败;
- urlFilter 必须为完整匹配或通配符语法(如 "https://d35aaqx5ub95lt.cloudfront.net/js/app-8d620ab3.js" 需精确一致,大小写敏感);
- ruleset ID 若用于静态规则,须在 manifest.json 中提前注册,且 updateDynamicRules 不能混用未声明的 rule ID;
- 调用 updateDynamicRules 前,务必确认 service worker 已激活且权限已授予(检查 chrome.runtime.lastError)。
总结
Manifest V3 明确禁止对 script 类型资源使用 extensionPath 重定向,这是不可绕过的安全硬性限制。开发者应放弃“拦截-替换 JS 请求”的旧有思路,转而采用 web_accessible_resources + 主动注入 的组合模式,并结合内容脚本生命周期精细控制执行时机。此举不仅符合规范,还能更好适配沙箱环境、提升可维护性与安全性。
