标签: javascript google-chrome google-chrome-extension xss
是否可以从Chrome扩展程序发出跨域请求,而无需在manifest.json中静态列出域名(可能是通过动态提示访问者获取权限)?
manifest.json
对于一个用例,假设我想让访问者提供一个RSS提要地址,然后我将其作为应用程序仪表板屏幕的一部分进行查询。我无法在manifest.json中列出该域名,因为在访问者在运行时输入域名之前我显然无法知道该域名。
我希望有一些动态请求访问域名的机制(“此扩展程序想要在www.example.com上浏览您的数据;您想要允许这样做吗?”)
有什么想法吗?
答案 0 :(得分:1)
我认为您需要指定match pattern:http://*/*
http://*/*