【发布时间】:2012-08-04 16:52:07
【问题描述】:
鉴于浏览器扩展程序将信息从一个网页发送到完全不同的服务器,这是否违反了同源策略?
【问题讨论】:
标签: firefox google-chrome google-chrome-extension firefox-addon same-origin-policy
【发布时间】:2012-08-04 16:52:07
【问题描述】:
同源策略 (SOP) 适用于普通网页,而不是浏览器扩展,即使它们是用 JavaScript 编写的。当扩展代码不是来自服务器时,“不同的服务器”是什么意思? (扩展脚本可能有某种来源,例如chrome-extension://longhashidentificationstr,但不是传统的域/来源。)要与任何网页通信(除了那些有CORS headers的网页),扩展不受 SOP 约束。
扩展并不完全“违反” SOP;相反,SOP 不适用于他们。 SOP 旨在限制可能由受损或恶意网页造成的损害。查看网页应该要求页面中零信任,因为访问网页非常容易。但是,安装扩展程序是用户不常做的事情,对用户的影响更大,因此要求对扩展程序有一定的信任并不是没有道理的。
【讨论】: