Ist es möglich, eine Remote-Webseite mithilfe einer Chrome-Erweiterung in eine Hintergrundseite zu laden?
%Vor%funktioniert, aber
%Vor%schlägt mit dem folgenden Fehler fehl:
%Vor% Nein, das ist nicht möglich. möglich seit Chrome 22 - siehe unten in der Antwort.
Sie können eine https: -Ressource in der Manifestdatei auf die weiße Liste setzen Datei, damit Ihr Hintergrundskript manuell erstellt werden kann. Stellen Sie sicher, dass Sie eine Fallback-Ressource in Ihre Erweiterung einschließen, falls das Netzwerk nicht verfügbar ist:
Aufgrund der Content-Sicherheitsrichtlinie (CSP) können Sie kein Inline-JavaScript ausführen, also Sie < em> muss externe JS-Dateien verwenden. bg.js könnte folgendermaßen aussehen:
Wenn Sie eine Seite dynamisch erstellen möchten, vermeiden Sie die Verwendung von eval -like-Methoden, da diese auch vom CSP verboten sind. Sie können eine Vorlage schreiben und externe Werte anfordern, um Ihre Vorlage zu füllen. localStorage kann zum Zwischenspeichern von Variablen verwendet werden. Ein Beispiel zum Zwischenspeichern externer Ressourcen finden Sie in der Chrome-Erweiterung, die der HTML-Seite der aktuellen Seite externes JavaScript hinzufügt . Diese Antwort bezieht sich auf Inhaltsskripte . Die genaue Methode kann daher nicht zum Aktivieren von Caching-Skripts verwendet werden (weil Sie eval zum Laden des Skripts verwenden müssten). Die Caching-Technik kann jedoch weiterhin verwendet werden.
Ich habe auch versucht, die folgende Methode zu verwenden, die nicht funktioniert (in dieser Antwort enthalten, so dass Sie es nicht selbst ausprobieren müssen):
Erstellen Sie aus der AJAX-Antwort eine Blob und verwenden Sie dann webkitURL.createObjectURL , um eine temporäre URL zum Laden der Ressource zu erstellen.
Der vorherige Code führt zu folgendem Fehler:
Weigerte sich, das Skript 'blob: chrome-extension% 3A // damgmpfpicjkeogacmlgiceidmilllf / 96356d24-3680-4188-812e-5661d23e81df' zu laden, da es gegen die folgende Richtlinie zur Inhaltssicherheitsrichtlinie verstößt: "script-src 'self' chrome-extension -resource: ".
Seit Chrome 22 ist es technisch möglich (mit der Richtlinie unsafe-eval CSP), Nicht-https-Ressourcen auf der Hintergrundseite zu laden. Dies ist offensichtlich nicht empfohlen wegen Sicherheitsbedenken (weil es anfällig für MITM-Angriff
Hier ist ein Beispiel, um eine beliebige Ressource zu laden und sie im Kontext des Hintergrundskripts auszuführen.
%Vor%unsafe-eval CSP-Richtlinie muss angegeben werden. permissions auf die weiße Liste gesetzt werden, um übergreifende Anfragen zu stellen, oder der Server muss CORS . Also sollte das Manifest mindestens enthalten:
%Vor%Tags und Links google-chrome google-chrome-extension