跨域 Chrome 扩展

Question

上周左右我一直在阅读和使用 Chrome 扩展程序，但我在尝试实现我想要的东西时遇到了麻烦。我要创建的是一个扩展，它在后台（或静默）访问网站，填写网页上的表格并检索响应。该网站没有 API，我无法创建服务器来执行此操作，因为该网站每小时每个 IP 只允许 X 次请求，因此我的请求会在几个用户之后用尽。

所以我的想法是创建一个后台页面，其中包含一些 javascript 来使用 JS 填写表单以获取元素ById、设置值、提交表单并将响应无缝地返回给用户。

经过测试，似乎同源政策阻止了我。这是我的代码：

_

manifest.json

{
  "manifest_version": 2,

  "name": "Getting started example",
  "description": "This extension shows a Google Image search result for the current page",
  "version": "1.0",

  "permissions": [
    "activeTab", "webRequest", "webRequestBlocking",
    "https://ajax.googleapis.com/"
  ],
  "background": {
      "page": "Page.html"
    }
}

页面.HTML：

<html>
    <head>
        <script src="myJS.js"></script>
    </head>
    <body>
        <iframe src="CO-TEST-FRAME.html" width="400" height="400" id="maniframe" class="maniframe"></iframe>
        <iframe src="http://www.myserver.com/iframe/CO-TEST-FRAME.html" width="400" height="400" id="maniframe2" class="maniframe2"></iframe>
        <p id="test">new</div>
    </body>
</html>

CO-TEST-FRAME.HTML：

<html>
    <head>
    </head>
    <body>
        <div id="desired" class="desired" hidden="hidden">some text</div>
    </body>
</html>

myJS.js：

window.onload = function() {
    alert("working");

    var iframe = document.getElementById("maniframe");
    var iframeStuff = iframe.contentDocument || iframe.contentWindow.document;
    var test = iframeStuff.getElementById("desired").innerHTML;

    var iframe2 = document.getElementById("maniframe2");
    var iframeStuff2 = iframe2.contentDocument || iframe.contentWindow.document;
    var test2 = iframeStuff.getElementById("desired").innerHTML;

    console.log(test);
    console.log(test2);
}

当第 9、10、11、14 行被注释掉时，我得到了预期的“一些文本”，即本地框架工作正常。但是，当我取消注释这些行时，第二帧（在服务器上）会引发以下错误

myJS.js:10 Uncaught SecurityError: Failed to read the 'contentDocument' property from 'HTMLIFrameElement': Blocked a frame with origin "chrome-extension://laocffdoafnoeipdndafcdbiaaephcah" from accessing a frame with origin "http://www.myserver.com".  The frame requesting access has a protocol of "chrome-extension", the frame being accessed has a protocol of "http". Protocols must match.

我理解为什么这会被阻止（因为人们能够以恶意意图运行 JS）但是 AFAIK 后台页面是在隔离环境中运行的，所以无论如何都可以减轻所有风险？有什么办法可以规避同源政策或做我试图以另一种方式实现的目标？可能在用户页面上带有内容脚本和 1x1 iframe？

Answer 1

似乎没有办法规避扩展页面的同源策略。见https://bugs.chromium.org/p/chromium/issues/detail?id=344341。

您可以通过将content script 注入背景页面上的 iframe 并使用内容脚本访问和操作 iframe DOM 来实现您的目标。

一个简单的例子：

将以下内容添加到您的manifest.json：

"content_scripts": [
{
  "matches": ["http://www.myserver.com/iframe/CO-TEST-FRAME.html"],
  "js": ["contentScript.js"],
        "all_frames": true
}

contentScript.js：

console.log("Content script injected.");
var test = document.getElementById("desired").innerHTML;
console.log("Text from " + document.URL + ": " + test);

请注意，内容脚本中没有window.onload。默认情况下，在 DOM 加载后注入内容脚本，因此不会触发 window.onload 事件。

如果需要在后台页面和内容脚本之间进行一些通信，您需要使用message passing。 SO上有很多与此相关的问题。

Answer 2

您需要在 manifest.js 中明确列出所有权限下的 URL 尝试使用未列出的任何内容会导致跨源错误。

您可以在权限部分列出网址，这应该可以。

"permissions": [
        "webRequest",
        "storage",
        "https://mail.google.com/*",
        "http://myserver.com/*",
        "https://blah.blah.com/*"
    ],

希望有帮助