Chrome扩展程序中的XSLT:加载网址的安全尝试不安全

时间:2013-01-05 13:17:38

标签: javascript xml xslt google-chrome-extension

我正在编写一个Chrome扩展程序,它应该动态地将XSLT转换应用于某些XML文档。仅用于测试我使用以下XML和XSL文件:

XML: 

<?xml version="1.0" encoding="utf-8" ?>
<WebServiceMessage>
 <status>timeout</status>
 <message>Nameserver%2520not%2520registered.</message>
 <stepName>Finish</stepName>
 <stepNumber>11</stepNumber>
 <maxStepNumber>11</maxStepNumber>
 <percent>100</percent>
 <session>2fc0f139b88a800151e5f21b9d747919</session>
</WebServiceMessage>

XSL: 

<?xml version="1.0" ?>
<xsl:stylesheet version="1.0"
  xmlns:xsl="http://www.w3.org/1999/XSL/Transform">
  <xsl:template match="/">
    <html><head></head>
    <body>
      <xsl:apply-templates/>
    </body>
    </html>
  </xsl:template>
  <xsl:template match="*">
    <xsl:for-each select="*">
      <p><b><xsl:value-of select ="name(.)"/></b>:
      <span><xsl:attribute name="id"><xsl:value-of select ="name(.)"/></xsl:attribute><xsl:value-of select="."/></span></p>
    </xsl:for-each>
  </xsl:template>
</xsl:stylesheet>

如果转换在测试XML文件本身内部链接,那么转换正常工作,即通过:

<?xml-stylesheet type="text/xsl" href="message.xsl"?>

扩展名应该将相同的xsl链接注入XML文件。

的manifest.json: 

{
  "permissions": ["tabs", "<all_urls>"],
  "content_scripts":
  [
    {
      "matches": ["<all_urls>"],
      "js" : ["contentscript.js"]
    }
  ],
  "web_accessible_resources":
  [
    "message.xsl"
  ],
  "manifest_version": 2
}

contentscript.js: 

(function()
{
  if(document.xmlVersion != null)
  {
     var e = document.createProcessingInstruction(
               "xml-stylesheet",
               "type='text/xsl' href='" + chrome.extension.getURL("message.xsl") + "'");
     document.insertBefore(e, document.firstChild);
  }
})();

问题

Chrome会将以下错误输出到控制台:

不安全尝试从包含网址chrome-extension://ladfinoepkgipbeooknnklpakoknohjh/message.xsl的网址加载网址http://localhost/out.xml。域,协议和端口必须匹配。

如何解决这个问题?我在互联网上看到一些与类似错误有关的报道,这似乎是Chrome中的一个错误。

我也将xsl文件放在Web服务器上,并将样式表链接更改为Web服务器。仍然是同样的错误:

不安全尝试从包含网址http://localhost/message.xsl的网址加载网址http://localhost/out.xml。域,协议和端口必须匹配。

显然,域名,协议和端口匹配

3 个答案:

答案 0 :(得分:1)

以下是我目前正在使用的解决方法:

function loadXMLtext(url)
{
  xhttp = new XMLHttpRequest();
  xhttp.open("GET", url, false);
  xhttp.send();
  if(xhttp.responseXML == undefined) throw "XHR failed for " + url;
  return xhttp.responseXML;
}

function transformxml()
{
  var xml = loadXMLtext(document.location.href);
  var xsl = loadXMLtext(chrome.extension.getURL("message.xsl"));

  var xsltPrs = new XSLTProcessor();
  xsltPrs.importStylesheet(xsl);

  var result = xsltPrs.transformToFragment(xml, document);

  var xmlsrv = new XMLSerializer();
  var plaintext = xmlsrv.serializeToString(result);
  document.documentElement.innerHTML = plaintext;
}

transformxml();

答案 1 :(得分:0)

您要求网页处理其域外的资源。您可以尝试通过localhost“欺骗”浏览器,但这与要求Facebook从谷歌执行脚本相同。这是Same Origin policy错误,解决它只是将处理从内容脚本移动到后台/事件页面。处理后您需要pass结果,但这是正确的方法。

为什么大多数处理应该在后台/事件页面中完成的另一个原因是为了优化您的扩展,否则您只是使用当前的window引擎,如果它阻止,那么它会为用户。

答案 2 :(得分:-1)

您可以使用Chrome的命令行标记在本地执行此操作。

具体标志为--allow-file-access-from-files 

On OS X: from Terminal.app run /Applications/Google\ Chrome.app/contents/MacOS/Google\ Chrome --allow-file-access-from-files

On Windows: from the command prompt run C:\Users\USERNAME\AppData\Local\Google\Chrome\Application\chrome.exe --allow-file-access-from-files (replacing USERNAME with your username)

注意:如果当前正在运行会话,您可能必须退出Chrome。确保这一点。

相关问题
最新问题