jac*_*des 8 firefox google-chrome firefox-addon same-origin-policy google-chrome-extension
鉴于浏览器扩展将信息从一个网页发送到完全不同的服务器,这违反了相同的原始策略吗?
同源策略(SOP)适用于普通网页,而不是浏览器扩展,即使它们是用JavaScript编写的.当扩展代码不是来自服务器时,"不同服务器"是什么意思?(扩展脚本可能具有某种类型的orgin,chrome-extension://longhashidentificationstr但不是传统的域/源.)要与任何 Web页面(具有CORS标头的网页除外)进行通信,扩展不能受SOP的约束.
扩展并不完全"违反"SOP; 相反,SOP 不适用于他们.SOP旨在限制可能由受损或恶意网页造成的损害.查看网页应该要求对页面没有信任,因为访问网页非常容易.但是,安装扩展程序是用户不那么频繁并且对用户产生较大影响的事情,因此要求对扩展程序有一些信任并不是不合理的.
| 归档时间: |
|
| 查看次数: |
1086 次 |
| 最近记录: |