Chrome 18+: Comment permettre l'utilisation de script inline avec un Contenu Politique de Sécurité?

Chrome 18 Dev/Canaries vient d'être publié, et content_security_policy seront nécessaires dans le manifeste pour certaines extensions.

Je vais essayer d'obtenir un CSP de travail pour en ligne de script, mais je ne sais pas si je fais quelque chose de mal ou si c'est un Chrome 18 bug.

manifeste.json:

{
    "name": "CSP Test",
    "version": "1.0",
    "manifest_version": 2,
    "options_page": "test.html",
    "content_security_policy": "default-src 'unsafe-inline'"
}

test.html:

<html><head>
<script type="text/javascript">
        alert("hello");
</script>
</head></html>

En Chrome de 18 ans, ce déballé l'extension de l'échec du chargement, l'affichage d'un message d'erreur:

Chrome 18+: Comment permettre l'utilisation de script inline avec un Contenu Politique de Sécurité?

Si je change 'unsafe-inline' à 'self', l'extension de charge très bien, mais alert() ne fonctionne pas, et la page des options de la console contient une erreur:

Refusa d'exécuter de script en ligne en raison du Contenu de la Politique de Sécurité.

En Chrome 16, à l'aide de 'unsafe-inline' permet l'extension de la charge d'amende et alert() œuvres, trop. Toutefois, en Chrome 16, en remplacement de 'unsafe-inline' avec 'foo' permet l'extension de la charge, mais, bien sûr, ne laissez pas alert() travail, alors peut-être que Chrome 18 est plus stricte que 16 ans, mais...

Est default-src 'unsafe-inline' en fait non valide, ou est-ce un bug? Ce CSP valeur puis-je utiliser pour faire alert() travail en Chrome de 18 ans?


Basé sur la accepté de répondre ci-dessous, en ligne scripts ne fonctionnent plus dans les extensions dans Chrome 18. alert() devra être placé dans son propre fichier JavaScript.