Access-Control-Allow-Origin überprüft die Chrome-Erweiterung nicht

Question

Sep 01, 2013, 06:11 PM

javascript security jquery google-chrome-extension

Access-Control-Allow-Origin überprüft die Chrome-Erweiterung nicht

Wie Sie wissen, lösen die meisten Browser beim Senden einer $ .ajax (..) -Anforderung an eine andere Domain (domänenübergreifend) eine Ausnahme aus, z.

 XMLHttpRequest cannot load http://mysite.com/test.php. Origin
 http://127.0.0.1:8888 is not allowed by Access-Control-Allow-Origin.

Ich erstelle eine Chrome-Erweiterung und sie sollte eine Anfrage an meine Website senden. Zuerst erwartete ich, obige Mitteilung auch zu sehen. Aber ich bin verwirrt, als ich sehe, dass es gut funktioniert hat.

Erstens scheint es gut zu sein, es funktioniert und ich habe, was ich will. Aber es kann schrecklich sein. Jeder kann auf diese Weise (nur ein einfaches Skript) meine Website angreifen und deren Daten abrufen.

Natürlich kann das Greifen auch auf andere Weise geschehen. Ich bin neu in der API-Programmierung und in der Chrome-Erweiterung. Kann mir jemand den Weg zeigen?

manifest.json

{
  "manifest_version": 2,
  "name": "MyTestExtension",
  "description": "this extension is for test",
  "version": "1.0",
  "icons": {
    "128": "icon.png"
  },
  "browser_action": {
    "default_icon": "icon.png" 
  },
  "permissions": [
    "tabs" ,
    "*://*/*"
  ],
  "content_scripts": [
    {
      "matches": ["*://*/*"],
      "js": ["jquery-1.7.2.min.js","content_script.js"],
      "run_at": "document_end"
    }
  ]  
}

content_script.js

$(document).ready(function(){
    $('html').mouseup(function() {
        var selectedText = getSelectedText();
        if(selectedText > ''){
            my_syncTest(selectedText)      // here : selected test send to my site
        }
    });

    function getSelectedText() {
        if (window.getSelection) {
            var selection = window.getSelection().toString();
            if(selection.trim() > ''){
                return selection;
            }
        } else if (document.selection) {
            var selection = document.selection.createRange().text;
            if(selection.trim() > ''){
                return selection;
            }
        }
        return '';
    } });


function my_syncTest(word){
var qs = 'word='+word+'&header=555&simwords=1'; 
$.ajax(
  {
   type: "POST", 
   url: 'http://mysite.com/test.php',
   dataType: 'json', 
   data : qs, 

  success:function(res){
    console.log(res.success +" - "+ res.idWord + " - " + res.header +" - " + res.meaning);
  }});
}