内容脚本

内容脚本是在网页情境中运行的文件。借助标准文档对象模型 (DOM),它们能够读取浏览器访问的网页的详细信息、对其进行更改,并将信息传递给其父级扩展程序。

了解内容脚本功能

内容脚本可以直接访问以下扩展程序 API:

内容脚本无法直接访问其他 API。不过,它们可以通过与扩展程序的其他部分交换消息来间接访问这些数据。

您还可以使用 fetch() 等 API 从内容脚本访问扩展程序中的其他文件。为此,您需要将其声明为可通过网络访问的资源。请注意,这也会将资源公开给同一网站上运行的任何第一方或第三方脚本。

在隔离的世界中工作

内容脚本位于隔离的环境中,因此内容脚本可以更改其 JavaScript 环境,而不会与网页或其他扩展程序的内容脚本冲突。

扩展程序可以在网页中运行,其代码与以下示例类似。

webPage.html

<html>
  <button id="mybutton">click me</button>
  <script>
    var greeting = "hello, ";
    var button = document.getElementById("mybutton");
    button.person_name = "Bob";
    button.addEventListener(
        "click", () => alert(greeting + button.person_name + "."), false);
  </script>
</html>

该扩展程序可以使用注入脚本部分中介绍的某种方法注入以下内容脚本。

content-script.js

var greeting = "hola, ";
var button = document.getElementById("mybutton");
button.person_name = "Roberto";
button.addEventListener(
    "click", () => alert(greeting + button.person_name + "."), false);

经过此更改,点击该按钮后,这两条提醒会依次显示。

注入脚本

内容脚本可以静态声明动态声明以编程方式注入

使用静态声明进行注入

对于应在一系列众所周知的网页上自动运行的脚本,请在 manifest.json 中使用静态内容脚本声明。

静态声明的脚本会在清单中的 "content_scripts" 键下注册。这些文件可以是 JavaScript 文件,也可以是 CSS 文件,或者两者兼有。所有自动运行的内容脚本都必须指定匹配模式

manifest.json

{
 "name": "My extension",
 ...
 "content_scripts": [
   {
     "matches": ["https://*.nytimes.com/*"],
     "css": ["my-styles.css"],
     "js": ["content-script.js"]
   }
 ],
 ...
}
名称 类型 说明
matches 字符串数组 必需。指定将将此内容脚本注入哪些网页。如需详细了解这些字符串的语法,请参阅匹配模式;如需了解如何排除网址,请参阅匹配模式和通配符
css 字符串数组 可选。要注入到匹配页面的 CSS 文件的列表。这些元素会按其在此数组中的显示顺序注入,在为网页构建或显示任何 DOM 之前。
js 字符串数组 可选。要注入到匹配网页中的 JavaScript 文件的列表。文件会按照此数组中的显示顺序注入。此列表中的每个字符串都必须包含相对于扩展程序根目录的资源的相对路径。系统会自动剪除前导斜线 (`/`)。
run_at RunAt 可选。指定脚本应何时注入到网页中。默认值为 document_idle
match_about_blank 布尔值 可选。脚本是否应注入到 about:blank 帧中,其中父级帧或打开器帧与 matches 中声明的某个模式匹配。默认值为 false。
match_origin_as_fallback 布尔值 可选。脚本是否应注入由匹配来源创建的帧,但其网址或来源可能与模式不完全匹配。这些帧包括采用不同架构的帧,例如 about:data:blob:filesystem:。另请参阅在相关帧中注入
world ExecutionWorld 可选。脚本在其中执行的 JavaScript 环境。默认值为 ISOLATED。另请参阅在隔离的环境中工作

使用动态声明进行注入

当内容脚本的匹配模式不太清楚,或者不应始终在已知主机上注入内容脚本时,动态内容脚本非常有用。

动态声明在 Chrome 96 中推出,与静态声明类似,但内容脚本对象是使用 chrome.scripting 命名空间(而非 manifest.json)中的方法向 Chrome 注册的。借助 Scripting API,扩展程序开发者还可以:

  • 注册内容脚本。
  • 获取已注册的内容脚本的列表。
  • 更新已注册的内容脚本列表。
  • 移除已注册的内容脚本。

与静态声明一样,动态声明可以包含 JavaScript 文件和/或 CSS 文件。

service-worker.js

chrome.scripting
  .registerContentScripts([{
    id: "session-script",
    js: ["content.js"],
    persistAcrossSessions: false,
    matches: ["*://example.com/*"],
    runAt: "document_start",
  }])
  .then(() => console.log("registration complete"))
  .catch((err) => console.warn("unexpected error", err))

service-worker.js

chrome.scripting
  .updateContentScripts([{
    id: "session-script",
    excludeMatches: ["*://admin.example.com/*"],
  }])
  .then(() => console.log("registration updated"));

service-worker.js

chrome.scripting
  .getRegisteredContentScripts()
  .then(scripts => console.log("registered content scripts", scripts));

service-worker.js

chrome.scripting
  .unregisterContentScripts({ ids: ["session-script"] })
  .then(() => console.log("un-registration complete"));

以编程方式注入

对于需要在响应事件或在特定场合运行的内容脚本,请使用程序化注入。

如需程序化地注入内容脚本,您的扩展程序需要针对其尝试注入脚本的网页拥有托管权限。您可以通过在扩展程序的清单中请求托管权限或暂时使用 "activeTab" 来授予托管权限。

以下是基于 activeTab 的不同版本的扩展程序。

manifest.json:

{
  "name": "My extension",
  ...
  "permissions": [
    "activeTab",
    "scripting"
  ],
  "background": {
    "service_worker": "background.js"
  },
  "action": {
    "default_title": "Action Button"
  }
}

内容脚本可以作为文件注入。

content-script.js


document.body.style.backgroundColor = "orange";

service-worker.js

chrome.action.onClicked.addListener((tab) => {
  chrome.scripting.executeScript({
    target: { tabId: tab.id },
    files: ["content-script.js"]
  });
});

或者,您也可以将函数正文作为内容脚本注入并执行。

service-worker.js

function injectedFunction() {
  document.body.style.backgroundColor = "orange";
}

chrome.action.onClicked.addListener((tab) => {
  chrome.scripting.executeScript({
    target : {tabId : tab.id},
    func : injectedFunction,
  });
});

请注意,注入的函数是 chrome.scripting.executeScript() 调用中引用的函数的副本,而不是原始函数本身。因此,函数的正文必须是自包含的;对函数外部变量的引用将导致内容脚本抛出 ReferenceError

以函数形式注入时,您还可以向函数传递实参。

service-worker.js

function injectedFunction(color) {
  document.body.style.backgroundColor = color;
}

chrome.action.onClicked.addListener((tab) => {
  chrome.scripting.executeScript({
    target : {tabId : tab.id},
    func : injectedFunction,
    args : [ "orange" ],
  });
});

排除匹配项和通配符

如需自定义指定的网页匹配,请在声明式注册中添加以下字段。

名称 类型 说明
exclude_matches 字符串数组 可选。排除本内容脚本原本要注入的网页。如需详细了解这些字符串的语法,请参阅匹配模式
include_globs 字符串数组 可选。在 matches 之后应用,以仅包含也与此正则表达式匹配的网址。这旨在模拟 @include Greasemonkey 关键字。
exclude_globs 字符串数组 可选。在 matches 之后应用,用于排除与此正则表达式匹配的网址。旨在模拟 @exclude Greasemonkey 关键字。

如果同时满足以下两个条件,系统会将内容脚本注入到网页中:

  • 其网址与任何 matches 模式和任何 include_globs 模式匹配。
  • 该网址也不符合 exclude_matchesexclude_globs 模式。由于 matches 属性是必需的,因此 exclude_matchesinclude_globsexclude_globs 只能用于限制受影响的网页。

以下扩展程序会将内容脚本注入 https://www.nytimes.com/health,但不会注入 https://www.nytimes.com/business

manifest.json

{
  "name": "My extension",
  ...
  "content_scripts": [
    {
      "matches": ["https://*.nytimes.com/*"],
      "exclude_matches": ["*://*/*business*"],
      "js": ["contentScript.js"]
    }
  ],
  ...
}

service-worker.js

chrome.scripting.registerContentScripts([{
  id : "test",
  matches : [ "https://*.nytimes.com/*" ],
  excludeMatches : [ "*://*/*business*" ],
  js : [ "contentScript.js" ],
}]);

匹配模式相比,Glob 属性采用了不同的、更灵活的语法。可接受的正则表达式字符串是可能包含“通配符”星号和问号的网址。星号 (*) 可匹配任何长度的字符串(包括空字符串),而问号 (?) 可匹配任何单个字符。

例如,通配符 https://???.example.com/foo/\* 与以下任一内容匹配:

  • https://www.example.com/foo/bar
  • https://the.example.com/foo/

符合以下条件:

  • https://my.example.com/foo/bar
  • https://example.com/foo/
  • https://www.example.com/foo

此扩展程序会将内容脚本注入 https://www.nytimes.com/arts/index.htmlhttps://www.nytimes.com/jobs/index.htm*,但不会注入 https://www.nytimes.com/sports/index.html

manifest.json

{
  "name": "My extension",
  ...
  "content_scripts": [
    {
      "matches": ["https://*.nytimes.com/*"],
      "include_globs": ["*nytimes.com/???s/*"],
      "js": ["contentScript.js"]
    }
  ],
  ...
}

此扩展程序会将内容脚本注入 https://history.nytimes.comhttps://.nytimes.com/history,但不会注入 https://science.nytimes.comhttps://www.nytimes.com/science

manifest.json

{
  "name": "My extension",
  ...
  "content_scripts": [
    {
      "matches": ["https://*.nytimes.com/*"],
      "exclude_globs": ["*science*"],
      "js": ["contentScript.js"]
    }
  ],
  ...
}

您可以添加其中一个、全部或部分选项,以实现正确的范围。

manifest.json

{
  "name": "My extension",
  ...
  "content_scripts": [
    {
      "matches": ["https://*.nytimes.com/*"],
      "exclude_matches": ["*://*/*business*"],
      "include_globs": ["*nytimes.com/???s/*"],
      "exclude_globs": ["*science*"],
      "js": ["contentScript.js"]
    }
  ],
  ...
}

运行时间

run_at 字段用于控制何时将 JavaScript 文件注入网页。首选值和默认值为 "document_idle"。如需了解其他可能的值,请参阅 RunAt 类型。

manifest.json

{
  "name": "My extension",
  ...
  "content_scripts": [
    {
      "matches": ["https://*.nytimes.com/*"],
      "run_at": "document_idle",
      "js": ["contentScript.js"]
    }
  ],
  ...
}

service-worker.js

chrome.scripting.registerContentScripts([{
  id : "test",
  matches : [ "https://*.nytimes.com/*" ],
  runAt : "document_idle",
  js : [ "contentScript.js" ],
}]);
名称 类型 说明
document_idle 字符串 首选。请尽可能使用 "document_idle"

浏览器会在 "document_end"window.onload 事件触发后立即选择时间来注入脚本。注入的确切时间取决于文档的复杂程度和加载所需的时间,并针对页面加载速度进行了优化。

"document_idle" 运行的内容脚本无需监听 window.onload 事件,它们保证会在 DOM 完成后运行。如果脚本确实需要在 window.onload 之后运行,则扩展程序可以使用 document.readyState 属性检查 onload 是否已触发。
document_start 字符串 脚本会在 css 中的任何文件之后注入,但在构建任何其他 DOM 或运行任何其他脚本之前。
document_end 字符串 脚本会在 DOM 完成后立即注入,但在图片和帧等子资源加载之前。

指定帧

对于清单中指定的声明式内容脚本,扩展程序可以使用 "all_frames" 字段指定是否应将 JavaScript 和 CSS 文件注入与指定网址要求匹配的所有框架,还是仅注入标签页中的顶层框架:

manifest.json

{
  "name": "My extension",
  ...
  "content_scripts": [
    {
      "matches": ["https://*.nytimes.com/*"],
      "all_frames": true,
      "js": ["contentScript.js"]
    }
  ],
  ...
}

使用 chrome.scripting.registerContentScripts(...) 以编程方式注册内容脚本时,可以使用 allFrames 参数指定内容脚本应注入到与指定网址要求匹配的所有帧中,还是仅注入到标签页中的顶层帧中。此参数只能与 tabId 一起使用,如果指定了 frameIds 或 documentIds,则无法使用:

service-worker.js

chrome.scripting.registerContentScripts([{
  id: "test",
  matches : [ "https://*.nytimes.com/*" ],
  allFrames : true,
  js : [ "contentScript.js" ],
}]);

扩展程序可能希望在与匹配框架相关但本身不匹配的框架中运行脚本。出现这种情况的一个常见场景是,帧的网址由匹配的帧创建,但网址本身与脚本指定的模式不匹配。

如果扩展程序想要在架构中注入具有 about:data:blob:filesystem: 架构的网址,就属于这种情况。在这些情况下,网址与内容脚本的模式不匹配(对于 about:data:,网址中甚至根本不包含父级网址或来源,如 about:blankdata:text/html,<html>Hello, World!</html> 中所示)。不过,这些帧仍可与创建帧相关联。

如需注入这些帧,扩展程序可以在清单中的内容脚本规范中指定 "match_origin_as_fallback" 属性。

manifest.json

{
  "name": "My extension",
  ...
  "content_scripts": [
    {
      "matches": ["https://*.google.com/*"],
      "match_origin_as_fallback": true,
      "js": ["contentScript.js"]
    }
  ],
  ...
}

如果指定并设置为 true,Chrome 会查看帧发起者的来源,而不是查看帧本身的网址,以确定帧是否匹配。请注意,这可能也与目标帧的原点不同(例如,data: 网址具有 null 来源)。

帧的启动者是创建或导航到目标帧的帧。虽然这通常是直接父级或打开者,但也可能不是(例如,在某个框架在 iframe 中导航 iframe 的情况下)。

由于此操作会比较发起帧的起源,因此发起帧可以位于该起源的任何路径上。为明确这一点,Chrome 要求将 "match_origin_as_fallback" 设置为 true 时指定的内容脚本还必须指定 * 路径。

如果同时指定了 "match_origin_as_fallback""match_about_blank",则以 "match_origin_as_fallback" 为准。

与嵌入页面通信

虽然内容脚本的执行环境与托管它们的网页彼此隔离,但它们共享对网页 DOM 的访问权限。如果网页希望与内容脚本通信,或者通过内容脚本与扩展程序通信,则必须通过共享 DOM 进行通信。

例如,可以使用 window.postMessage() 实现:

content-script.js

var port = chrome.runtime.connect();

window.addEventListener("message", (event) => {
  // We only accept messages from ourselves
  if (event.source !== window) {
    return;
  }

  if (event.data.type && (event.data.type === "FROM_PAGE")) {
    console.log("Content script received: " + event.data.text);
    port.postMessage(event.data.text);
  }
}, false);

example.js

document.getElementById("theButton").addEventListener("click", () => {
  window.postMessage(
      {type : "FROM_PAGE", text : "Hello from the webpage!"}, "*");
}, false);

非扩展程序页面 example.html 会向自身发布消息。此消息会被内容脚本拦截和检查,然后发布到扩展程序进程。这样,该网页便会与扩展程序进程建立通信渠道。反之亦然。

访问扩展程序文件

如需从内容脚本访问扩展程序文件,您可以调用 chrome.runtime.getURL() 来获取扩展程序资源的绝对网址,如以下示例 (content.js) 所示:

content-script.js

let image = chrome.runtime.getURL("images/my_image.png")

如需在 CSS 文件中使用字体或图片,您可以使用 @@extension_id 构建网址,如以下示例 (content.css) 所示:

content.css

body {
 background-image:url('chrome-extension://__MSG_@@extension_id__/background.png');
}

@font-face {
 font-family: 'Stint Ultra Expanded';
 font-style: normal;
 font-weight: 400;
 src: url('chrome-extension://__MSG_@@extension_id__/fonts/Stint Ultra Expanded.woff') format('woff');
}

所有资源都必须在 manifest.json 文件中声明为可通过网络访问的资源

manifest.json

{
 ...
 "web_accessible_resources": [
   {
     "resources": [ "images/*.png" ],
     "matches": [ "https://example.com/*" ]
   },
   {
     "resources": [ "fonts/*.woff" ],
     "matches": [ "https://example.com/*" ]
   }
 ],
 ...
}

确保安全

虽然隔离的虚拟世界提供了一层保护,但使用内容脚本可能会在扩展程序和网页中造成漏洞。如果内容脚本从其他网站接收内容(例如通过调用 fetch()),请务必先滤除内容以防范跨站点脚本攻击,然后再注入内容。仅通过 HTTPS 进行通信,以避免"man-in-the-middle"攻击。

请务必过滤恶意网页。例如,以下模式很危险,在清单 V3 中不允许使用:

错误做法

content-script.js

const data = document.getElementById("json-data");
// WARNING! Might be evaluating an evil script!
const parsed = eval("(" + data + ")");
错误做法

content-script.js

const elmt_id = ...
// WARNING! elmt_id might be '); ... evil script ... //'!
window.setTimeout("animate(" + elmt_id + ")", 200);

相反,请优先使用不会运行脚本的更安全的 API:

正确做法

content-script.js

const data = document.getElementById("json-data")
// JSON.parse does not evaluate the attacker's scripts.
const parsed = JSON.parse(data);
正确做法

content-script.js

const elmt_id = ...
// The closure form of setTimeout does not evaluate scripts.
window.setTimeout(() => animate(elmt_id), 200);