鉴于浏览器扩展程序将信息从一个网页发送到完全不同的服务器,这违反了相同的原始政策吗?
答案 0 :(得分:9)
同源策略(SOP)适用于普通网页,而不是浏览器扩展,即使它们是用JavaScript编写的。当扩展代码不是来自服务器时,“不同服务器”是什么意思? (扩展脚本可能包含某种类型的orgin,如chrome-extension://longhashidentificationstr,但不是传统的域/来源。)与任何网页进行通信(具有CORS headers的网页除外),扩展不能受SOP约束。
扩展并未完全“违反”SOP;相反,SOP 不适用于。 SOP旨在限制可能由受损或恶意网页造成的损害。查看网页应该在页面中需要零信任,因为访问网页非常容易。但是,安装扩展程序是用户不那么频繁并且对用户产生较大影响的事情,因此要求对扩展程序有一些信任并不是不合理的。