Access-Control-Allow-Origin未檢查Chrome擴展名
[英]Access-Control-Allow-Origin not checking in chrome extension
問題描述
如您所知,當將$ .ajax(..)請求發送到另一個域(跨域)時,大多數瀏覽器會拋出如下異常:
XMLHttpRequest cannot load http://mysite.com/test.php. Origin
http://127.0.0.1:8888 is not allowed by Access-Control-Allow-Origin.
我正在創建chrome擴展程序,它應該向我的網站發送請求。 首先,我也希望看到上述消息。 但是當我看到它工作正常時,我感到困惑。
首先,它看起來不錯,可以正常工作,我有想要的東西。 但這可能是可怕的。 每個人都可以使用這種方式(僅是一個簡單的腳本)來攻擊我的網站並獲取其數據。
當然,搶奪也可以通過其他方式發生。 我是api編程和chrome擴展的新手。 有人可以給我指路嗎?
manifest.json
{
"manifest_version": 2,
"name": "MyTestExtension",
"description": "this extension is for test",
"version": "1.0",
"icons": {
"128": "icon.png"
},
"browser_action": {
"default_icon": "icon.png"
},
"permissions": [
"tabs" ,
"*://*/*"
],
"content_scripts": [
{
"matches": ["*://*/*"],
"js": ["jquery-1.7.2.min.js","content_script.js"],
"run_at": "document_end"
}
]
}
content_script.js
$(document).ready(function(){
$('html').mouseup(function() {
var selectedText = getSelectedText();
if(selectedText > ''){
my_syncTest(selectedText) // here : selected test send to my site
}
});
function getSelectedText() {
if (window.getSelection) {
var selection = window.getSelection().toString();
if(selection.trim() > ''){
return selection;
}
} else if (document.selection) {
var selection = document.selection.createRange().text;
if(selection.trim() > ''){
return selection;
}
}
return '';
} });
function my_syncTest(word){
var qs = 'word='+word+'&header=555&simwords=1';
$.ajax(
{
type: "POST",
url: 'http://mysite.com/test.php',
dataType: 'json',
data : qs,
success:function(res){
console.log(res.success +" - "+ res.idWord + " - " + res.header +" - " + res.meaning);
}});
}
1 個解決方案
解決方案1
8 2013-09-01 20:38:03
來自擴展的XMLHttpRequests起作用,因為您在清單中定義了以下權限:
"permissions": [
"*://*/*"
]
當用戶安裝您的擴展程序時,系統會通知他該擴展程序可以訪問所有站點上的數據。 我更喜歡只包含您需要的確切網站,而不是通配符。
http://developer.chrome.com/extensions/xhr.html
此機制是為了保護用戶,而不是保護您的站點。 如果您不希望所有人使用您的API,請使用API密鑰或研究oAuth:
http://en.wikipedia.org/wiki/OAuth
如果您想了解有關跨源請求的更多信息:
http://en.wikipedia.org/wiki/Cross-origin_resource_sharing
https://developer.mozilla.org/zh-CN/docs/HTTP/Access_control_CORS
Access-Control-Allow-Origin不允許使用Chrome Origin null
[英]Chrome Origin null is not allowed by Access-Control-Allow-Origin
Chrome中的錯誤:“ Access-Control-Allow-Origin不允許原始文件://”
[英]Error in Chrome: “Origin file:// is not allowed by Access-Control-Allow-Origin”
Chrome擴展程序20小時后沒有“Access-Control-Allow-Origin”標題
[英]Chrome extension No 'Access-Control-Allow-Origin' header after 20 hours
解決 Chrome 擴展程序的“不存在‘Access-Control-Allow-Origin’標頭”問題
[英]Resolve "No 'Access-Control-Allow-Origin' header is present" issue with Chrome Extension
Javascript,Chrome擴展開發,XMLHttpRequest Access-Control-Allow-Origin問題
[英]Javascript, Chrome Extension development, XMLHttpRequest Access-Control-Allow-Origin problem
Chrome擴展程序后台頁面有時會返回錯誤Access-Control-Allow-Origin(通常在Windows XP上)
[英]Chrome Extension background page returns error Access-Control-Allow-Origin only sometimes (usually on Windows XP)
“嘗試與Chrome擴展程序中的Google Contacts API進行交互時,不會出現”Access-Control-Allow-Origin“標題
[英]“No 'Access-Control-Allow-Origin' header is present” when trying to interact with Google Contacts API from Chrome extension
繞過本地文件系統上的Chrome Access-control-allow-origin?
[英]Circumventing Chrome Access-control-allow-origin on the local file system?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
Chrome無法識別Access-Control-Allow-Origin
Access-Control-Allow-Origin不允許使用Chrome Origin null
Chrome中的錯誤:“ Access-Control-Allow-Origin不允許原始文件://”
Chrome擴展程序20小時后沒有“Access-Control-Allow-Origin”標題
解決 Chrome 擴展程序的“不存在‘Access-Control-Allow-Origin’標頭”問題
Javascript,Chrome擴展開發,XMLHttpRequest Access-Control-Allow-Origin問題
Chrome擴展程序后台頁面有時會返回錯誤Access-Control-Allow-Origin(通常在Windows XP上)
“嘗試與Chrome擴展程序中的Google Contacts API進行交互時,不會出現”Access-Control-Allow-Origin“標題
繞過本地文件系統上的Chrome Access-control-allow-origin?
Access-Control-Allow-Origin 不允許 Origin
相關標簽