指定封裝資源的路徑,且預期可在
網頁內容的正確性這些路徑與套件根目錄相對,且可能含有萬用字元。適用對象
例如插入內容指令碼的擴充功能,目的是建立
example.com 的介面可允許介面所需的任何資源 (圖片、圖示、
樣式表和指令碼等),如下所示:
{
...
"web_accessible_resources": [
"images/*.png",
"style/double-rainbow.css",
"script/double-rainbow.js",
"script/main.js",
"templates/*"
],
...
}
接著,這些資源就能在網頁上透過網址使用
chrome-extension://[PACKAGE ID]/[PATH],可以使用 extension.getURL 產生
方法。許可清單中的資源會使用適當的 CORS 標頭提供,因此可用於存取
與 XHR 等機制分享
從網路來源到擴充功能資源的導覽會遭到封鎖,除非該項資源位於 並列為可在網路上存取請注意以下極端情況:
- 擴充功能使用 webRequest 或 declarativeWebRequest API 重新導向公開網頁 如果資源要求的資源要求無法透過網路存取,這類要求也會遭到封鎖。
- 即使重新導向資源擁有不開放網路存取的資源,上述情況仍會維持不變 。
內容指令碼本身不需要加入許可清單。
在資訊清單第 2 版之前,擴充功能中的所有資源均可從 網頁。這讓惡意網站得以指紋使用者安裝的擴充功能 或利用已安裝的擴充功能中的安全漏洞 (例如 XSS 錯誤)。限制 僅限於對 Google 服務 盡可能減少可用攻擊面,並保護使用者隱私。
預設可用性
使用 manifest_version 2 以上版本的套件內部資源預設會封鎖。
且必須加入許可清單,才能透過這項資源使用。
根據預設,使用 manifest_version 1 的套件中的資源可用,但
設定後,系統會將該資源視為完整的許可清單資源清單。
系統會封鎖未列出的資源。