我正在开发 Firefox 和 Chrome 的扩展。我的扩展使用的数据主要是从 ajax 请求生成的。返回的数据类型是私有的,因此它需要是安全的。我的服务器支持 https 并且 ajax 调用被发送到 https 域。信息正在来回发送,并且扩展程序正常工作。
我的问题是:
扩展是否真的与服务器建立了安全连接,或者这是否被认为与跨域发布相同,将请求从 http 页面发送到 https 页面?
与用户直接从浏览器中的 https 网页访问信息相比,我是否在传输过程中将用户信息置于更大的风险之中?
提前致谢!
当您使用 HTTPS 时,浏览器绝对会建立安全连接。当然,浏览器绝不会在不告诉您的情况下降低连接的安全性:它要么按照书面要求完成请求,要么在不可能的情况下抛出某种错误。
Chrome 和 Firefox 的扩展都允许发出跨域 AJAX 请求。在 Chrome 中,您只需提供主机的协议/名称作为您的manifest.json. 在 Firefox 中,我认为您可能需要使用Components.classes来获取跨域请求者,如使用 XMLHttpRequest的 MDN 页面中所述,但我对此不是 100% 确定。尝试做一个正常的请求,看看是否成功;如果没有,请使用Components.classes解决方案。