Chrome 확장 프로그램의 도메인 간 API

Question

외부에 REST API를 호출해야하는 Chrome 용 확장 프로그램을 개발 중입니다. 내 문제는 HTTP 프로토콜로 API를 호출 할 수없는 반면 https로 할 수 있다는 것입니다. 다음은 내 허락 구성입니다 :

"permissions": [ 
     "tabs", 
     "storage", 
     "cookies", 
     "http://*/*", 
     "https://*/*" 
    ] 

그리고 여기에 외부 사이트 호출 할 jQuery 코드입니다 :

var host = "https://www.google.com.vn/"; 
    var xhr = new XMLHttpRequest(); 
    xhr.open("GET", host, true); 
    xhr.onreadystatechange = function() { 
     if (xhr.readyState == 4) { 
      if (xhr.status === 200) { 
       alert(xhr.responseText) 
      } else { 
       alert("Error with status:" + xhr.status); 
      } 
     } 
    } 
    xhr.send(); 

된 HTTPS 사이트와 제대로 코드가 작동 위

, 예를 들면 : https://www.google.com.vn/, https://www.linkedin.com/ ...하지만를 다음과 같은 http 사이트에서 작동하지 않습니다. http://stackoverflow.com/

저는 Android/iOS 개발자이며 jQuery뿐 아니라 Chrome 확장 프로그램에서도 새로운 기능을 제공합니다. 제 실수를 지적 해주십시오. 미리 감사드립니다. 콘텐츠 스크립트 Ajax 호출을하면

Answer 1

, 그것은 웹 페이지의 Content-Security-Policy 헤더에 의해 제한 될 당신 수 없습니다 (사실 해야하지 당신은 chrome.webRequest를 통해 해당 헤더를 제거 할 수 있기 때문에 api, 그러나 그것은 나쁜 것이고 사이트를 안전하지 않게 만들 것입니다) 통제.

이상적인 제안은 확장 컨텍스트에있는 Background (event) page으로 아약스 호출을 전송하는 논리를 이동하는 것이며, 해당 호스트 사용 권한을 선언 할 때 자유롭게 사용할 수 있습니다. 자세한 내용은 Cross-Origin XMLHttpRequest을 참조하십시오.

Answer 2

HTTPS에서는 작동하지만 HTTP 요청에서는 작동하지 않는다고 말하는 것은 웹 보안 문제입니다.

콘텐츠 스크립트가 https://example.com에서 작동하는 경우 코드의 이 기술적으로 안전한 출처로 간주됩니다. 웹 보안은 출처가 안전하지 않은 발신 연결을 차단하며 이는 귀하의 코드에 영향을 미칩니다.

Haibara의 답변은 CSP 문제라고 가정 할 때 올바르지 않습니다. 그러나 제안 된 해결 방법은 정확합니다. 요청을 배경 페이지에 위임하면 코드의 원점은 chrome-extension://yourextensionidhere/이되어 안전하지 않은 출처에 연결할 수 있습니다.