我正在扩展中开发一项功能,该功能允许用户用远程资源覆盖一些本地资源。
为此,我们使用webRequest将选定的请求重定向到远程位置。这很好用,可以在这些上正确发送 Cookie,然后可以加载远程资源(需要身份验证)。
不起作用的棘手部分是当所述资源包含 HTML 导入时。
Chrome 将解析这些导入并发送请求以获取导入的资源,但在这种情况下,它不会发送 Cookie 标头。所以我曾经webRequest.onBeforeSendHeaders添加它(无论如何都需要在 Firefox 中)。
在这种情况下,Chrome 不会像我认为的那样发送 Cookie 标头。
有人知道这是否是预期/标准的,还是可能是 Chrome 中的错误?或者也许有解决方法?
编辑:HTML 导入规范指定 HTML 导入应以 CORS模式获取。same-origin这意味着它不应该发送凭据。Chrome 似乎尊重这里。
现在的问题是:那么应该允许扩展添加 cookie 标头吗?Firefox 似乎允许这样做(我可以添加缺少的 cookie 标头)。
EDIT2:我已经挖掘了铬问题,发现核心开发团队正在考虑放宽一些扩展的安全功能,其中可能包括这种情况。所以我在那里打开了一个问题