Chrome扩展:可以在安全页面注入外部JavaScript
Chrome Extension: Possible to Inject External JavaScript in Secured Pages?
我一整天都在揪头发。
我正在为Facebook创建一个工具。
我试图注入远程Javascript到我的Chrome扩展。
它似乎是工作在所有其他网站,除了在Facebook.com,因为http协议是安全的:HTTPS
当我浏览其他不使用HTTPS的网站时,脚本被注入
是否不可能注入外部javascript为安全站点提供动态内容?
我使用以下代码注入外部js:
app.js(扩展的一部分)
加载以下内容:
chrome.tabs.executeScript(tabId, {file: "js/loadexternal.js"});
然后/js/loadexternal.js做以下操作:
var s = document.createElement('script');
s.type = 'text/javascript';
s.src ='https://www.website.com/loader.js?client=tacx';
document.getElementsByTagName('head')[0].appendChild(s);
请注意:我也从安全(HTTPS)服务器加载远程脚本。没有帮助!
当我不在安全页面时,加载loader.js文件…
但是它不能在Facebook上加载,这似乎总是在HTTPS协议上。
请帮帮我。谢谢你。
PS>是否有一个工作,以显示动态编译的结果在我的工具扩展FB?
如果您查看facebook页面上的HTTP响应头,您将看到以下行:
content-security-policy: default-src *;script-src https://*.facebook.com http://*.facebook.com https://*.fbcdn.net http://*.fbcdn.net *.facebook.net *.google-analytics.com *.virtualearth.net *.google.com 127.0.0.1:* *.spotilocal.com:* chrome-extension://lifbcibllhkdhoafpjfnlhfpfgnpldfl 'unsafe-inline' 'unsafe-eval' https://*.akamaihd.net http://*.akamaihd.net *.atlassolutions.com;style-src * 'unsafe-inline';connect-src https://*.facebook.com http://*.facebook.com https://*.fbcdn.net http://*.fbcdn.net *.facebook.net *.spotilocal.com:* https://*.akamaihd.net ws://*.facebook.com:* http://*.akamaihd.net https://fb.scanandcleanlocal.com:* *.atlassolutions.com http://attachment.fbsbx.com https://attachment.fbsbx.com;
Facebook有一个安全策略,不允许来自这个列表之外的域的脚本,所以我认为你将无法从你的扩展加载外部脚本。
如果标题不在那里,您通常可以包含托管在https://
协议上的脚本。
相关文章:
- 调整窗口大小时,可拖动的对象会出现在容器外部
- HTML表单提交时未执行外部函数
- 通过在Dojo mobile ViewController.openExternalView中动态更改打开同一外部视图的
- 使用Objective-C的JavaScript注入方法
- 是否可以将外部javascript引用从SWF注入到主机页中
- 是否可以在外部浏览器中注入 CSS
- 将外部Javascript文件注入html页面并在其上执行方法WP8 Webbrowser
- 在JSNI中注入外部JavaScript代码
- 在页面加载后在 html 正文中注入外部 JavaScript 文件
- 如何使用 Grunt.js在 bootstrap.less 中注入外部 .less 文件
- 如何将外部输入动态注入 SlimerJS 脚本
- 外部脚本已被注入到我的数据库
- 试图访问控制器方法外部注入的依赖项
- Angular.js -不能注入外部模块
- 将外部js注入到自创建的iframe中
- 从外部模块注入提供程序到配置块时出现未知的提供程序错误
- 包含外部CSS文件是安全的,还是会导致代码注入?
- 组件ID可以在Chrome控制台通过$find找到,但不能在外部注入代码中找到
- 外部javascript文件注入不工作在chrome上
- Chrome扩展:可以在安全页面注入外部JavaScript