বিষয়বস্তু স্ক্রিপ্ট

বিষয়বস্তু স্ক্রিপ্টগুলি এমন ফাইল যা ওয়েব পৃষ্ঠাগুলির প্রসঙ্গে চলে৷ স্ট্যান্ডার্ড ডকুমেন্ট অবজেক্ট মডেল (DOM) ব্যবহার করে, তারা ব্রাউজার পরিদর্শন করা ওয়েব পৃষ্ঠাগুলির বিশদ পড়তে, তাদের পরিবর্তন করতে এবং তাদের অভিভাবক এক্সটেনশনে তথ্য পাঠাতে সক্ষম হয়।

বিষয়বস্তু স্ক্রিপ্ট ক্ষমতা বুঝতে

বিষয়বস্তু স্ক্রিপ্টগুলি এক্সটেনশনের সাথে বার্তা বিনিময় করে তাদের অভিভাবক এক্সটেনশন দ্বারা ব্যবহৃত Chrome APIগুলি অ্যাক্সেস করতে পারে৷ তারা chrome.runtime.getURL() দিয়ে একটি এক্সটেনশনের ফাইলের URL অ্যাক্সেস করতে পারে এবং ফলাফলটি অন্যান্য URL-এর মতোই ব্যবহার করতে পারে৷

// Code for displaying EXTENSION_DIR/images/myimage.png:
var imgURL = chrome.runtime.getURL("images/myimage.png");
document.getElementById("someImage").src = imgURL;

অতিরিক্তভাবে, বিষয়বস্তু স্ক্রিপ্ট নিম্নলিখিত ক্রোম APIগুলি সরাসরি অ্যাক্সেস করতে পারে:

• i18n
• স্টোরেজ
• রানটাইম :
  • সংযোগ
  • getManifest
  • getURL
  • আইডি
  • অন ​​কানেক্ট
  • onMessage
  • বার্তা পাঠান

বিষয়বস্তু স্ক্রিপ্ট সরাসরি অন্যান্য API অ্যাক্সেস করতে অক্ষম.

বিচ্ছিন্ন বিশ্বে কাজ করুন

বিষয়বস্তু স্ক্রিপ্টগুলি একটি বিচ্ছিন্ন বিশ্বে বাস করে, একটি বিষয়বস্তু স্ক্রিপ্টকে পৃষ্ঠা বা অতিরিক্ত সামগ্রী স্ক্রিপ্টগুলির সাথে বিরোধ না করে তার জাভাস্ক্রিপ্ট পরিবেশে পরিবর্তন করতে দেয়৷

নীচের উদাহরণের মতো কোড সহ একটি ওয়েব পৃষ্ঠায় একটি এক্সটেনশন চলতে পারে৷

<html>
  <button id="mybutton">click me</button>
  <script>
    var greeting = "hello, ";
    var button = document.getElementById("mybutton");
    button.person_name = "Bob";
    button.addEventListener("click", function() {
      alert(greeting + button.person_name + ".");
    }, false);
  </script>
</html>

এই এক্সটেনশন নিম্নলিখিত বিষয়বস্তু স্ক্রিপ্ট ইনজেক্ট করতে পারে.

var greeting = "hola, ";
var button = document.getElementById("mybutton");
button.person_name = "Roberto";
button.addEventListener("click", function() {
  alert(greeting + button.person_name + ".");
}, false);

বোতাম টিপলে উভয় সতর্কতা প্রদর্শিত হবে।

বিচ্ছিন্ন বিশ্বগুলি বিষয়বস্তু স্ক্রিপ্ট, এক্সটেনশন এবং ওয়েব পৃষ্ঠাকে অন্যদের দ্বারা তৈরি কোনো ভেরিয়েবল বা ফাংশন অ্যাক্সেস করার অনুমতি দেয় না। এটি কন্টেন্ট স্ক্রিপ্টগুলিকে কার্যকারিতা সক্ষম করার ক্ষমতা দেয় যা ওয়েব পৃষ্ঠায় অ্যাক্সেসযোগ্য হওয়া উচিত নয়।

স্ক্রিপ্ট ইনজেক্ট করুন

বিষয়বস্তু স্ক্রিপ্ট প্রোগ্রাম বা ঘোষণামূলকভাবে ইনজেক্ট করা যেতে পারে.

প্রোগ্রাম্যাটিকভাবে ইনজেকশন করুন

বিষয়বস্তু স্ক্রিপ্টগুলির জন্য প্রোগ্রাম্যাটিক ইনজেকশন ব্যবহার করুন যা নির্দিষ্ট অনুষ্ঠানে চালানো প্রয়োজন।

একটি প্রোগ্রাম্যাটিক কন্টেন্ট স্ক্রিপ্ট ইনজেক্ট করতে, ম্যানিফেস্টে সক্রিয় ট্যাব অনুমতি প্রদান করুন। এটি সক্রিয় সাইটের হোস্টে নিরাপদ অ্যাক্সেস এবং ট্যাব অনুমতিতে অস্থায়ী অ্যাক্সেস মঞ্জুর করে, ক্রস-অরিজিন অনুমতিগুলি নির্দিষ্ট না করেই সামগ্রী স্ক্রিপ্টটিকে বর্তমান সক্রিয় ট্যাবে চালানোর জন্য সক্ষম করে৷

{
  "name": "My extension",
  ...
  "permissions": [
    "activeTab"
  ],
  ...
}

বিষয়বস্তু স্ক্রিপ্ট কোড হিসাবে ইনজেক্ট করা যেতে পারে.

chrome.runtime.onMessage.addListener(
  function(message, callback) {
    if (message == "changeColor"){
      chrome.tabs.executeScript({
        code: 'document.body.style.backgroundColor="orange"'
      });
    }
  });

অথবা একটি সম্পূর্ণ ফাইল ইনজেকশন করা যেতে পারে।

chrome.runtime.onMessage.addListener(
  function(message, callback) {
    if (message == "runContentScript"){
      chrome.tabs.executeScript({
        file: 'contentScript.js'
      });
    }
  });

ঘোষণামূলকভাবে ইনজেকশন করুন

কন্টেন্ট স্ক্রিপ্টের জন্য ঘোষণামূলক ইনজেকশন ব্যবহার করুন যা স্বয়ংক্রিয়ভাবে নির্দিষ্ট পৃষ্ঠাগুলিতে চালানো উচিত।

ঘোষণামূলকভাবে ইনজেক্ট করা স্ক্রিপ্টগুলি ম্যানিফেস্টে "content_scripts" ক্ষেত্রের অধীনে নিবন্ধিত হয়। তারা JavaScript ফাইল, CSS ফাইল বা উভয়ই অন্তর্ভুক্ত করতে পারে। সমস্ত স্বয়ংক্রিয়-চালিত বিষয়বস্তু স্ক্রিপ্ট অবশ্যই মিলের নিদর্শনগুলি নির্দিষ্ট করবে৷

{
 "name": "My extension",
 ...
 "content_scripts": [
   {
     "matches": ["http://*.nytimes.com/*"],
     "css": ["myStyles.css"],
     "js": ["contentScript.js"]
   }
 ],
 ...
}

ম্যাচ এবং গ্লোব বাদ দিন

ম্যানিফেস্ট রেজিস্ট্রেশনে নিম্নলিখিত ক্ষেত্রগুলি অন্তর্ভুক্ত করে নির্দিষ্ট পৃষ্ঠার মিল কাস্টমাইজ করা যায়।

বিষয়বস্তু স্ক্রিপ্ট একটি পৃষ্ঠাতে ইনজেকশন করা হবে যদি এর URL যেকোন matches প্যাটার্ন এবং যেকোনও include_globs প্যাটার্নের সাথে মেলে, যতক্ষণ না URLটি exclude_matches বা exclude_globs প্যাটার্নের সাথে মেলে না।

যেহেতু matches বৈশিষ্ট্য প্রয়োজন, তাই exclude_matches , include_globs , এবং exclude_globs শুধুমাত্র কোন পৃষ্ঠাগুলি প্রভাবিত হবে তা সীমিত করতে ব্যবহার করা যেতে পারে৷

নিম্নলিখিত এক্সটেনশনটি কন্টেন্ট স্ক্রিপ্টটিকে http://www.nytimes.com/ health- এ প্রবেশ করাবে কিন্তু http://www.nytimes.com/ ব্যবসায় নয়।

{
  "name": "My extension",
  ...
  "content_scripts": [
    {
      "matches": ["http://*.nytimes.com/*"],
      "exclude_matches": ["*://*/*business*"],
      "js": ["contentScript.js"]
    }
  ],
  ...
}

গ্লোব বৈশিষ্ট্যগুলি মিলের নিদর্শনগুলির চেয়ে একটি ভিন্ন, আরও নমনীয় বাক্য গঠন অনুসরণ করে৷ গ্রহণযোগ্য গ্লোব স্ট্রিং হল URL গুলি যাতে "ওয়াইল্ডকার্ড" তারকাচিহ্ন এবং প্রশ্ন চিহ্ন থাকতে পারে৷ তারকাচিহ্ন * খালি স্ট্রিং সহ যেকোনো দৈর্ঘ্যের যে কোনো স্ট্রিংয়ের সাথে মেলে, যখন প্রশ্ন চিহ্ন ? যেকোনো একক অক্ষরের সাথে মিলে যায়।

যেমন গ্লোব http://??? .example.com/foo/ * নিচের যেকোনো একটির সাথে মেলে:

• http:// www .example.com/foo /bar
• http:// the .example.com/foo /

যাইহোক, এটি নিম্নলিখিতগুলির সাথে মেলে না :

• http:// my .example.com/foo/bar
• http:// উদাহরণ .com/foo/
• http://www.example.com/foo

এই এক্সটেনশনটি কন্টেন্ট স্ক্রিপ্টটিকে http://www.nytimes.com/ arts /index.html এবং http://www.nytimes.com/ jobs /index.html- এ ইনজেক্ট করবে কিন্তু http://www.nytimes.com- এ নয় / ক্রীড়া /index.html ।

{
  "name": "My extension",
  ...
  "content_scripts": [
    {
      "matches": ["http://*.nytimes.com/*"],
      "include_globs": ["*nytimes.com/???s/*"],
      "js": ["contentScript.js"]
    }
  ],
  ...
}

এই এক্সটেনশনটি কন্টেন্ট স্ক্রিপ্টটিকে http:// history .nytimes.com এবং http://.nytimes.com/ ইতিহাসে প্রবেশ করাবে কিন্তু http:// science .nytimes.com বা http://www.nytimes.com- এ নয় / বিজ্ঞান .

{
  "name": "My extension",
  ...
  "content_scripts": [
    {
      "matches": ["http://*.nytimes.com/*"],
      "exclude_globs": ["*science*"],
      "js": ["contentScript.js"]
    }
  ],
  ...
}

সঠিক সুযোগ অর্জনের জন্য এক, সমস্ত বা এর মধ্যে কিছু অন্তর্ভুক্ত করা যেতে পারে।

{
  "name": "My extension",
  ...
  "content_scripts": [
    {
      "matches": ["http://*.nytimes.com/*"],
      "exclude_matches": ["*://*/*business*"],
      "include_globs": ["*nytimes.com/???s/*"],
      "exclude_globs": ["*science*"],
      "js": ["contentScript.js"]
    }
  ],
  ...
}

রান সময়

যখন JavaScript ফাইলগুলি ওয়েব পেজে ইনজেক্ট করা হয় তখন run_at ফিল্ড দ্বারা নিয়ন্ত্রিত হয়। পছন্দের এবং ডিফল্ট ক্ষেত্রটি হল "document_idle" , তবে প্রয়োজনে "document_start" বা "document_end" হিসেবেও নির্দিষ্ট করা যেতে পারে।

{
  "name": "My extension",
  ...
  "content_scripts": [
    {
      "matches": ["http://*.nytimes.com/*"],
      "run_at": "document_idle",
      "js": ["contentScript.js"]
    }
  ],
  ...
}

ফ্রেম নির্দিষ্ট করুন

"all_frames" ক্ষেত্রটি এক্সটেনশনকে নির্দিষ্ট করার অনুমতি দেয় যে JavaScript এবং CSS ফাইলগুলি নির্দিষ্ট URL এর প্রয়োজনীয়তাগুলির সাথে মেলে বা শুধুমাত্র একটি ট্যাবের সর্বোচ্চ ফ্রেমে ইনজেকশন করা উচিত কিনা৷

{
  "name": "My extension",
  ...
  "content_scripts": [
    {
      "matches": ["http://*.nytimes.com/*"],
      "all_frames": true,
      "js": ["contentScript.js"]
    }
  ],
  ...
}

এম্বেডিং পৃষ্ঠার সাথে যোগাযোগ

যদিও বিষয়বস্তু স্ক্রিপ্টের কার্যকরী পরিবেশ এবং সেগুলি হোস্ট করে এমন পৃষ্ঠাগুলি একে অপরের থেকে বিচ্ছিন্ন, তারা পৃষ্ঠার DOM-এ অ্যাক্সেস ভাগ করে নেয়। যদি পৃষ্ঠাটি বিষয়বস্তু স্ক্রিপ্টের সাথে বা বিষয়বস্তু স্ক্রিপ্টের মাধ্যমে এক্সটেনশনের সাথে যোগাযোগ করতে চায়, তবে এটি অবশ্যই ভাগ করা DOM-এর মাধ্যমে তা করতে হবে।

একটি উদাহরণ window.postMessage ব্যবহার করে সম্পন্ন করা যেতে পারে:

var port = chrome.runtime.connect();

window.addEventListener("message", function(event) {
  // We only accept messages from ourselves
  if (event.source != window)
    return;

  if (event.data.type && (event.data.type == "FROM_PAGE")) {
    console.log("Content script received: " + event.data.text);
    port.postMessage(event.data.text);
  }
}, false);

document.getElementById("theButton").addEventListener("click",
    function() {
  window.postMessage({ type: "FROM_PAGE", text: "Hello from the webpage!" }, "*");
}, false);

নন-এক্সটেনশন পৃষ্ঠা, example.html, নিজের কাছে বার্তা পোস্ট করে। এই বার্তাটি কন্টেন্ট স্ক্রিপ্ট দ্বারা আটকানো এবং পরিদর্শন করা হয় এবং তারপর এক্সটেনশন প্রক্রিয়াতে পোস্ট করা হয়। এইভাবে, পৃষ্ঠাটি এক্সটেনশন প্রক্রিয়ার সাথে যোগাযোগের একটি লাইন স্থাপন করে। বিপরীতটি অনুরূপ উপায়ে সম্ভব।

নিরাপদে থাকুন

যদিও বিচ্ছিন্ন বিশ্বগুলি সুরক্ষার একটি স্তর সরবরাহ করে, সামগ্রীর স্ক্রিপ্টগুলি ব্যবহার করে একটি এক্সটেনশন এবং ওয়েব পৃষ্ঠায় দুর্বলতা তৈরি করতে পারে৷ যদি বিষয়বস্তু স্ক্রিপ্ট একটি পৃথক ওয়েবসাইট থেকে বিষয়বস্তু গ্রহণ করে, যেমন একটি XMLHttpRequest তৈরি করা, এটি ইনজেকশন করার আগে বিষয়বস্তু ক্রস-সাইট স্ক্রিপ্টিং আক্রমণগুলি ফিল্টার করতে সতর্ক থাকুন৷ "ম্যান-ইন-দ্য-মিডল" আক্রমণ এড়াতে শুধুমাত্র HTTPS-এর মাধ্যমে যোগাযোগ করুন।

দূষিত ওয়েব পৃষ্ঠাগুলির জন্য ফিল্টার করতে ভুলবেন না। উদাহরণস্বরূপ, নিম্নলিখিত নিদর্শনগুলি বিপজ্জনক:

var data = document.getElementById("json-data")
// WARNING! Might be evaluating an evil script!
var parsed = eval("(" + data + ")")

var elmt_id = ...
// WARNING! elmt_id might be "); ... evil script ... //"!
window.setTimeout("animate(" + elmt_id + ")", 200);

পরিবর্তে, নিরাপদ API পছন্দ করুন যা স্ক্রিপ্ট চালায় না:

var data = document.getElementById("json-data")
// JSON.parse does not evaluate the attacker's scripts.
var parsed = JSON.parse(data);

var elmt_id = ...
// The closure form of setTimeout does not evaluate scripts.
window.setTimeout(function() {
  animate(elmt_id);
}, 200);