Ресурсы, доступные через Интернет, — это файлы внутри расширения, к которым могут получить доступ веб-страницы или другие расширения. Расширения обычно используют эту функцию для предоставления изображений или других ресурсов, которые необходимо загрузить на веб-страницы, но любой ресурс, включенный в пакет расширения, можно сделать доступным через Интернет.
По умолчанию никакие ресурсы не доступны через Интернет, поскольку это позволяет вредоносному веб-сайту распознавать расширения, установленные пользователем, или использовать уязвимости (например, ошибки XSS ) в установленных расширениях. Только страницы или сценарии, загруженные из источника расширения, могут получить доступ к ресурсам этого расширения.
Манифестная декларация
Используйте свойство манифеста web_accessible_resources
, чтобы объявить, какие ресурсы доступны и в каком источнике. Это свойство представляет собой массив объектов, объявляющий правила доступа к ресурсам. Каждый объект сопоставляет массив ресурсов расширения с массивом URL-адресов и/или идентификаторов расширений, которые могут получить доступ к этим ресурсам.
{
...
"web_accessible_resources": [
{
"resources": [ "test1.png", "test2.png" ],
"matches": [ "https://web-accessible-resources-1.glitch.me/*" ]
}, {
"resources": [ "test3.png", "test4.png" ],
"matches": [ "https://web-accessible-resources-2.glitch.me/*" ],
"use_dynamic_url": true
}
],
...
}
Каждый объект массива содержит следующие элементы:
-
"resources"
- Массив строк, каждая из которых содержит относительный путь к заданному ресурсу из корневого каталога расширения. Ресурсы могут содержать звездочки (
*
) для совпадений с подстановочными знаками. Например,"/images/*"
рекурсивно предоставляет все, что находится в каталогеimages/
расширения, а"*.png"
предоставляет все файлы PNG. -
"matches"
- Массив строк, каждая из которых содержит шаблон соответствия , определяющий, какие сайты могут получить доступ к этому набору ресурсов. Для сопоставления URL-адресов используется только источник. Источники включают соответствие субдоменов. Google Chrome выдает ошибку «Неверный шаблон соответствия», если путь к шаблону отличается от «/*».
-
"extension_ids"
- Массив строк, каждая из которых содержит идентификатор расширения, которое может получить доступ к ресурсам.
-
"use_dynamic_url"
- Если это правда, разрешить доступ к ресурсам только через динамический идентификатор. Динамический идентификатор генерируется для каждого сеанса. Это означает, что он восстанавливается при перезапуске браузера или перезагрузке расширения.
Каждый элемент должен включать элемент "resources"
и элемент "matches"
или "extension_ids"
. При этом устанавливается сопоставление, которое предоставляет указанные ресурсы либо веб-страницам, соответствующим шаблону, либо расширениям с совпадающими идентификаторами. Элемент "use_dynamic_url"
является необязательным.
Навигация по ресурсам
Ресурсы доступны на веб-странице через URL-адрес chrome-extension://[PACKAGE ID]/[PATH]
, который можно сгенерировать с помощью метода runtime.getURL()
. Ресурсы обслуживаются с соответствующими заголовками CORS , поэтому они доступны через fetch()
.
Переход от веб-источника к ресурсу расширения блокируется, если ресурс не указан как доступный через Интернет. Обратите внимание на эти угловые случаи:
- Когда расширение использует API webRequest для перенаправления запроса общедоступного ресурса на ресурс, который недоступен через Интернет, такой запрос также блокируется.
- Вышеупомянутое справедливо, даже если ресурс, недоступный через Интернет, принадлежит расширению перенаправления.
- Навигация блокируется в режиме инкогнито, если в поле
"incognito"
не установлено значение"split"
.
Сами по себе сценарии содержимого разрешать не требуется.
Пример
Пример веб-доступных ресурсов демонстрирует использование этого элемента в рабочем расширении.
,Ресурсы, доступные через Интернет, — это файлы внутри расширения, к которым могут получить доступ веб-страницы или другие расширения. Расширения обычно используют эту функцию для предоставления изображений или других ресурсов, которые необходимо загрузить на веб-страницы, но любой ресурс, включенный в пакет расширения, можно сделать доступным через Интернет.
По умолчанию никакие ресурсы не доступны через Интернет, поскольку это позволяет вредоносному веб-сайту распознавать расширения, установленные пользователем, или использовать уязвимости (например, ошибки XSS ) в установленных расширениях. Только страницы или сценарии, загруженные из источника расширения, могут получить доступ к ресурсам этого расширения.
Манифестная декларация
Используйте свойство манифеста web_accessible_resources
, чтобы объявить, какие ресурсы доступны и в каком источнике. Это свойство представляет собой массив объектов, объявляющих правила доступа к ресурсам. Каждый объект сопоставляет массив ресурсов расширения с массивом URL-адресов и/или идентификаторов расширений, которые могут получить доступ к этим ресурсам.
{
...
"web_accessible_resources": [
{
"resources": [ "test1.png", "test2.png" ],
"matches": [ "https://web-accessible-resources-1.glitch.me/*" ]
}, {
"resources": [ "test3.png", "test4.png" ],
"matches": [ "https://web-accessible-resources-2.glitch.me/*" ],
"use_dynamic_url": true
}
],
...
}
Каждый объект массива содержит следующие элементы:
-
"resources"
- Массив строк, каждая из которых содержит относительный путь к данному ресурсу из корневого каталога расширения. Ресурсы могут содержать звездочки (
*
) для совпадений с подстановочными знаками. Например,"/images/*"
рекурсивно предоставляет все, что находится в каталогеimages/
расширения, а"*.png"
предоставляет все файлы PNG. -
"matches"
- Массив строк, каждая из которых содержит шаблон соответствия , указывающий, какие сайты могут получить доступ к этому набору ресурсов. Для сопоставления URL-адресов используется только источник. Источники включают соответствие субдоменов. Google Chrome выдает ошибку «Неверный шаблон соответствия», если путь к шаблону отличается от «/*».
-
"extension_ids"
- Массив строк, каждая из которых содержит идентификатор расширения, которое может получить доступ к ресурсам.
-
"use_dynamic_url"
- Если это правда, разрешить доступ к ресурсам только через динамический идентификатор. Динамический идентификатор генерируется для каждого сеанса. Это означает, что он восстанавливается при перезапуске браузера или перезагрузке расширения.
Каждый элемент должен включать элемент "resources"
и элемент "matches"
или "extension_ids"
. При этом устанавливается сопоставление, которое предоставляет указанные ресурсы либо веб-страницам, соответствующим шаблону, либо расширениям с совпадающими идентификаторами. Элемент "use_dynamic_url"
является необязательным.
Навигация по ресурсам
Ресурсы доступны на веб-странице через URL-адрес chrome-extension://[PACKAGE ID]/[PATH]
, который можно сгенерировать с помощью метода runtime.getURL()
. Ресурсы обслуживаются с соответствующими заголовками CORS , поэтому они доступны через fetch()
.
Переход от веб-источника к ресурсу расширения блокируется, если ресурс не указан как доступный через Интернет. Обратите внимание на эти угловые случаи:
- Когда расширение использует API webRequest для перенаправления запроса общедоступного ресурса на ресурс, который недоступен через Интернет, такой запрос также блокируется.
- Вышеупомянутое справедливо, даже если ресурс, недоступный через Интернет, принадлежит расширению перенаправления.
- Навигация блокируется в режиме инкогнито, если в поле
"incognito"
не установлено значение"split"
.
Сами по себе сценарии содержимого разрешать не требуется.
Пример
Пример веб-доступных ресурсов демонстрирует использование этого элемента в рабочем расширении.