单击事件处理程序中的XMLHttpRequest状态为0

我正在编写一个Google Chrome扩展，以利用我们编写的API。我遇到的问题是popup.html有一个登录表单，当按下提交按钮时，它会调用必要的身份验证代码，其中包括向API服务器发出几个XMLHttpRequest。

代码如下：

authenticate.js

function authenticate(username, password)
{
  var xhr = new XMLHttpRequest();
  xhr.open("GET", "<api-server>/challenge?username=dummyusername", true);
  xhr.onreadystatechange = function() {
    if (xhr.readyState == 4) {
      alert(xhr.status);
    }
  };
  xhr.send();
}
/*Gets the username and password textboxes from popup.html and passes their values on to authenticate()*/
function getCredentials()
{
  authenticate("test", "test");
}
document.addEventListener("DOMContentLoaded", function() {
  var submitBtn = document.getElementById("submitBtn");
  if (submitBtn != null) {
    submitBtn.onclick = getCredentials;
  }
});

popup.html

<!doctype html>
<html>
  <head>
    <title>Login Page</title>
  </head>
  <body>
  <form>
    <label for="username">Username:</label>
    <input type="text" id="usernameTxt"><br>
    <label for="password">Password:</label>
    <input type="password" id="passwordTxt"><br><br>
    <input type="submit" id="submitBtn" value="Submit">
  </form>
  <script src="authenticate.js"></script>
  </body>
</html>

manifest.json

{
  "manifest_version": 2,
  "name": "Chrome Extension",
  "description": "Chrome Extension",
  "version": "1.0",
  "browser_action": {
    "default_icon": "icon.png",
    "default_popup": "popup.html"
  },
  "permissions": [
    "tabs",
    "<all_urls>",
    "activeTab",
    "https://ajax.googleapis.com/",
    "<api-server>"
  ]
}

然而，如果我替换：

document.addEventListener("DOMContentLoaded", function() {
  var submitBtn = document.getElementById("submitBtn");
  if (submitBtn != null) {
    submitBtn.onclick = getCredentials;
  }
});

带有：

document.addEventListener('DOMContentLoaded', function() {
  getCredentials();
});

它做了正确的事情，这让我相信这是因为它是从点击事件处理程序调用的，而且可能不知何故权限没有扩展到按钮。

我看到了这篇文章（Chrome扩展：XMLHttpRequest已取消（状态==0）），并将"<all_urls>"添加到权限中，这没有什么区别。