1

如您所知,当向另一个域(跨域)发送 $.ajax(..) 请求时,大多数浏览器都会抛出如下异常:

 XMLHttpRequest cannot load http://mysite.com/test.php. Origin
 http://127.0.0.1:8888 is not allowed by Access-Control-Allow-Origin.

我正在创建 chrome 扩展程序,它应该向我的网站发送请求。首先,我也希望看到上面的消息。但是当我看到它工作正常时我很困惑。

首先,它看起来不错,它正在工作,我有我想要的。但这可能很可怕。每个人都可以使用这种方式(只有一个简单的脚本)来攻击我的网站并获取其数据。

当然,抓取也可能以其他方式发生。我是 api 编程和 chrome 扩展的新手。有人可以给我指路吗?

清单.json

{
  "manifest_version": 2,
  "name": "MyTestExtension",
  "description": "this extension is for test",
  "version": "1.0",
  "icons": {
    "128": "icon.png"
  },
  "browser_action": {
    "default_icon": "icon.png" 
  },
  "permissions": [
    "tabs" ,
    "*://*/*"
  ],
  "content_scripts": [
    {
      "matches": ["*://*/*"],
      "js": ["jquery-1.7.2.min.js","content_script.js"],
      "run_at": "document_end"
    }
  ]  
}

content_script.js

$(document).ready(function(){
    $('html').mouseup(function() {
        var selectedText = getSelectedText();
        if(selectedText > ''){
            my_syncTest(selectedText)      // here : selected test send to my site
        }
    });

    function getSelectedText() {
        if (window.getSelection) {
            var selection = window.getSelection().toString();
            if(selection.trim() > ''){
                return selection;
            }
        } else if (document.selection) {
            var selection = document.selection.createRange().text;
            if(selection.trim() > ''){
                return selection;
            }
        }
        return '';
    } });


function my_syncTest(word){
var qs = 'word='+word+'&header=555&simwords=1'; 
$.ajax(
  {
   type: "POST", 
   url: 'http://mysite.com/test.php',
   dataType: 'json', 
   data : qs, 

  success:function(res){
    console.log(res.success +" - "+ res.idWord + " - " + res.header +" - " + res.meaning);
  }});
}
4

1 回答 1

8

来自您的扩展的 XMLHttpRequests 工作,因为您在清单中定义了这些权限:

"permissions": [
    "*://*/*"
]

当用户安装您的扩展程序时,他会被告知此扩展程序可以访问他在所有站点上的数据。我更喜欢只包含您需要的确切站点而不是通配符。

http://developer.chrome.com/extensions/xhr.html

这种机制是为了保护用户,而不是保护您的网站。如果您不希望每个人都使用您的 API,请使用 API 密钥或查看 oAuth:

http://en.wikipedia.org/wiki/OAuth

如果您想了解有关跨源请求的更多信息:

http://en.wikipedia.org/wiki/Cross-origin_resource_sharing

https://developer.mozilla.org/en-US/docs/HTTP/Access_control_CORS

于 2013-09-01T20:38:03.697 回答