当点击扩展程序时，pinterest 如何在任何网站上加载 iframe？

Question

我正在尝试为谷歌浏览器开发类似于 Pinterest 的 PinIt 扩展程序的扩展程序。

一般来说，我知道在 iframe 中加载任何来自不同来源的 URL 会导致给出错误“拒绝在框架中显示 'https://www.someWebsite.com/'，因为它将 'X-Frame-Options' 设置为 'DENY'。”
但是，我确实看到 Pinterest 在使用其扩展程序时会在任何网站上加载 URL。例如，我在 instagram.com 上使用了扩展程序（我也在其他网站上使用过），然后我截取了 我无法理解的屏幕截图。 （请参考 DOM 中的选定区域）

谁能告诉我这是如何实现的，或者 pinterest 是如何做到的？

Answer 1

X-Frame-Options 指定哪些框架可以嵌入页面，而不是哪些页面可以嵌入其中。

因此，如果 https://www.someWebsite.com/ 不允许嵌入，X-Frame-Options 不会阻止在其中嵌入 https://www.someOtherWebsite.com/（如果其他网站允许）。

但是，child-src or frame-src Content Security Policy directive 可以阻止嵌入另一个页面。

---

理论上，webRequest API 可以覆盖这两种机制。然而：

1. PinIt 不使用它，因此从逻辑上讲，它应该在某些网站上失败。
   http://content-security-policy.com/ 是一个简单失败的示例。

2. 如果您决定绕过响应标头，可能会有其他对策。
   如果某些资源不愿意嵌入或不允许嵌入，那就是猫捉老鼠的游戏。

3. 通过更改 CSP 标头，您会大大削弱用户的安全性。

Answer 2

我终于想出了如何处理这个问题。我仍然不知道 pinterest 到底是如何做到的，但我确信我已经接近它了。
我只是通过将我自己的 JS 注入页面来在父级的主体中加载一个 iframe。

然后我遍历页面上所有可用的图像，例如

$('img).each(function(){
    // do my stuff to see if i need this image
    // push them in an array (say, var imgArray)
})
    var imgToString = imgArray.toString();
    var myIframe = document.getElementById('iframe_id').contentWindow;
    myIframe..postMessage(imgToString , '*');

然后在我加载的 iFrame 中，我收到消息并使用图像...
所以整个问题的要点是postMessage()是我的救星。