给定浏览器扩展程序将信息从一个网页发送到完全不同的服务器,这是否违反了同源策略?
问问题
1413 次
1 回答
9
同源策略 (SOP) 适用于普通网页,而不是浏览器扩展,即使它们是用 JavaScript 编写的。当扩展代码不是来自服务器时,“不同的服务器”是什么意思?(扩展脚本可能有某种来源,例如chrome-extension://longhashidentificationstr,但不是传统的域/来源。)要与任何网页通信(具有CORS 标头的网页除外),扩展不能被 SOP 绑定。
扩展并不完全“违反” SOP;相反,SOP不适用于他们。SOP 旨在限制可能由受损或恶意网页造成的损害。查看网页应该要求对页面的信任为零,因为访问网页非常容易。但是,安装扩展是用户不经常做的事情,对用户的影响更大,因此要求对扩展有一定的信任并不是没有道理的。
于 2012-08-07T16:49:54.900 回答