XMLHttpRequest對象是W3C的標准API,用於訪問服務器資源。XMLHttpRequest對象支持多種文本格式,如XML和JSON等。XMLHttpRequest對象可以通過HTTP和HTTPS發送請求。
通常出於安全的考慮,Web頁面的XMLHttpRequest對象不能訪問其他域的服務器。但是Chrome瀏覽器擴展沒有這個限制,只要設置了跨域訪問的權限,Chrome瀏覽器擴展的XMLHttpRequest對象可以訪問聲明的任何域的服務器。
每個Chrome瀏覽器擴展都運行於自己的獨立安全域,Chrome瀏覽器擴展的XMLHttpRequest對象能夠輕松訪問其所在擴展的內部資源,示例如下:
1 var xhr = new XMLHttpRequest(); 2 xhr.onreadystatechange = handleStateChange; // Implemented elsewhere. 3 xhr.open("GET", chrome.extension.getURL('/config_resources/config.json'), true); 4 //訪問內部位於config_resources目錄下的config.json文件 5 xhr.send();
如果Chrome瀏覽器擴展的XMLHttpRequest對象要訪問跨域資源,需要在manifest.json文件中聲明要訪問的域如下:
1 { 2 "permissions": [ 3 "http://www.google.com/", 4 "http://*.google.com/", 5 "https://*.google.com/", 6 "http://*/" 7 ], 8 }
注意:這里只設置域,對於域后的任何路徑都將忽略。
同一域名,還要區分HTTP和HTTPS。
跨域訪問的響應處理中,要注意響應數據的安全性,避免注入木馬。
如果修改了Chrome瀏覽器擴展的默認內容安全策略,則還需要確保要訪問的域被授權,如可以將要訪問的域加入到connect-src或default-src中。關於Chrome瀏覽器擴展的內容安全策略,詳見內容安全策略部分。