使用Chrome扩展程序,是否可能将远程网页加载到后台页面中?
"background": {
"page": "local.html"
}
可以正常工作,但是
"background": {
"page": "http://...."
}
以下错误导致失败:
Could not load background page http://....
使用Chrome扩展程序,是否可能将远程网页加载到后台页面中?
"background": {
"page": "local.html"
}
可以正常工作,但是
"background": {
"page": "http://...."
}
以下错误导致失败:
Could not load background page http://....
https:
资源,以便手动构建您的后台脚本。请确保在扩展中包含后备资源,以防网络故障: (参考链接)<!-- ... doctype etc ... (background.html) -->
<script src="https://..../external_bg.js"></script>
<script src="bg.js"></script>
由于 内容安全策略(CSP) 的限制,您无法运行内联JavaScript代码,因此必须使用外部JS文件。bg.js
可以如下所示:
if (!window.namespace_of_external_bg) {
// Fallback, by defining fallback methods or injecting a new script:
document.write('<script src="fallback_bg.js"></script>');
}
如果您想动态构建一个页面,请避免使用类似于eval
的方法,因为这些方法也被CSP禁止。您可以编写一个模板,并请求外部值来填充您的模板。localStorage
可用于缓存变量。有关缓存外部资源的示例,请参见Chrome扩展向当前页面的HTML添加外部JavaScript。此答案提到了内容脚本,因此无法使用确切的方法来启用缓存脚本(因为您需要使用eval
来加载脚本)。但是,仍然可以使用缓存技术。
Blob
,然后使用webkitURL.createObjectURL
创建临时URL来加载资源。// Modification of https://dev59.com/8mkv5IYBdhLWcg3w4kp2#10371025
// Instead of `chrome.tabs.executeScript`, use
// x.responseText or x.response (eg when using x.responseType='arraybuffer')
var blob = new Blob([x.responseText], {type: 'application/javascript'});
var url = (window.URL || window.webkitURL).createObjectURL(blob);
var s = document.createElement('script');
s.src = url;
document.head.appendChild(s);
以下代码会产生如下错误:
拒绝加载脚本“blob:chrome-extension%3A//damgmplfpicjkeogacmlgiceidmilllf/96356d24-3680-4188-812e-5661d23e81df”,因为它违反了以下内容安全策略指令:“script-src 'self' chrome-extension-resource:”。
自从Chrome 22版本以后,使用unsafe-eval
CSP政策技术上就可以在后台页面中加载非https资源。这显然不推荐,因为存在安全问题(例如容易受到中间人攻击)。
这里有一个示例,可以加载任意资源并在后台脚本的上下文中运行它。
function loadScript(url) {
var x = new XMLHttpRequest();
x.onload = function() {
eval(x.responseText); // <---- !!!
};
x.open('GET', url);
x.send();
}
// Usage:
loadScript('http://badpractic.es/insecure.js');
unsafe-eval
CSP策略必须被指定。permissions
部分中列入白名单,或者服务器必须启用CORS。因此,清单文件至少应包含:
"content_security_policy": "script-src 'self' 'unsafe-eval'; object-src 'self'",
"permissions": ["http://badpractic.es/insecure.js"],
"background": {"scripts": ["background.js"] }
local.html
中嵌入外部网站的 iframe。它可以加载,但是由于同源策略,我无法调用 iframe 内的 JavaScript 函数。我将尝试您提供的解决方案。 - Anirudh Ramanathanwindow.postMessage
(reference_to_frame.contentWindow.postMessage
)与框架进行通信。 - Rob W